src/afb-auth.c

   1 /*
   2  * Copyright (C) 2016, 2017 "IoT.bzh"
   3  * Author "Fulup Ar Foll"
   4  * Author José Bollo <jose.bollo@iot.bzh>
   5  *
   6  * Licensed under the Apache License, Version 2.0 (the "License");
   7  * you may not use this file except in compliance with the License.
   8  * You may obtain a copy of the License at
   9  *
  10  *   http://www.apache.org/licenses/LICENSE-2.0
  11  *
  12  * Unless required by applicable law or agreed to in writing, software
  13  * distributed under the License is distributed on an "AS IS" BASIS,
  14  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  15  * See the License for the specific language governing permissions and
  16  * limitations under the License.
  17  */
  18
  19 #define _GNU_SOURCE
  20 #define AFB_BINDING_PRAGMA_NO_VERBOSE_MACRO
  21
  22 #include <stdlib.h>
  23
  24 #include <afb/afb-auth.h>
  25
  26 #include "afb-auth.h"
  27 #include "afb-context.h"
  28 #include "afb-xreq.h"
  29 #include "afb-cred.h"
  30 #include "verbose.h"
  31
  32 int afb_auth_check(struct afb_xreq *xreq, const struct afb_auth *auth)
  33 {
  34         switch (auth->type) {
  35         default:
  36         case afb_auth_No:
  37                 return 0;
  38
  39         case afb_auth_Token:
  40                 return afb_context_check(&xreq->context);
  41
  42         case afb_auth_LOA:
  43                 return afb_context_check_loa(&xreq->context, auth->loa);
  44
  45         case afb_auth_Permission:
  46                 if (xreq->cred && auth->text)
  47                         return afb_auth_check_permission(xreq, auth->text);
  48                 /* TODO: handle case of self permission */
  49                 return 1;
  50
  51         case afb_auth_Or:
  52                 return afb_auth_check(xreq, auth->first) || afb_auth_check(xreq, auth->next);
  53
  54         case afb_auth_And:
  55                 return afb_auth_check(xreq, auth->first) && afb_auth_check(xreq, auth->next);
  56
  57         case afb_auth_Not:
  58                 return !afb_auth_check(xreq, auth->first);
  59
  60         case afb_auth_Yes:
  61                 return 1;
  62         }
  63 }
  64
  65 /*********************************************************************************/
  66 #ifdef BACKEND_PERMISSION_IS_CYNARA
  67
  68 #include <pthread.h>
  69 #include <cynara-client.h>
  70
  71 static cynara *handle;
  72 static pthread_mutex_t mutex = PTHREAD_MUTEX_INITIALIZER;
  73
  74 int afb_auth_check_permission(struct afb_xreq *xreq, const char *permission)
  75 {
  76         int rc;
  77
  78         /* cynara isn't reentrant */
  79         pthread_mutex_lock(&mutex);
  80
  81         /* lazy initialisation */
  82         if (!handle) {
  83                 rc = cynara_initialize(&handle, NULL);
  84                 if (rc != CYNARA_API_SUCCESS) {
  85                         handle = NULL;
  86                         ERROR("cynara initialisation failed with code %d", rc);
  87                         return 0;
  88                 }
  89         }
  90
  91         /* query cynara permission */
  92         rc = cynara_check(handle, xreq->cred->label, afb_context_uuid(&xreq->context), xreq->cred->user, permission);
  93
  94         pthread_mutex_unlock(&mutex);
  95         return rc == CYNARA_API_ACCESS_ALLOWED;
  96 }
  97
  98 /*********************************************************************************/
  99 #else
 100 int afb_auth_check_permission(struct afb_xreq *xreq, const char *permission)
 101 {
 102         WARNING("Granting permission %s by default of backend", permission);
 103         return 1;
 104 }
 105 #endif
 106