src/afb-auth.c

   1 /*
   2  * Copyright (C) 2016, 2017 "IoT.bzh"
   3  * Author "Fulup Ar Foll"
   4  * Author José Bollo <jose.bollo@iot.bzh>
   5  *
   6  * Licensed under the Apache License, Version 2.0 (the "License");
   7  * you may not use this file except in compliance with the License.
   8  * You may obtain a copy of the License at
   9  *
  10  *   http://www.apache.org/licenses/LICENSE-2.0
  11  *
  12  * Unless required by applicable law or agreed to in writing, software
  13  * distributed under the License is distributed on an "AS IS" BASIS,
  14  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  15  * See the License for the specific language governing permissions and
  16  * limitations under the License.
  17  */
  18
  19 #define _GNU_SOURCE
  20 #define AFB_BINDING_PRAGMA_NO_VERBOSE_MACRO
  21
  22 #include <stdlib.h>
  23
  24 #include <afb/afb-auth.h>
  25
  26 #include "afb-auth.h"
  27 #include "afb-context.h"
  28 #include "afb-xreq.h"
  29 #include "afb-cred.h"
  30 #include "verbose.h"
  31
  32 static int check_permission(struct afb_xreq *xreq, const char *permission);
  33
  34 int afb_auth_check(struct afb_xreq *xreq, const struct afb_auth *auth)
  35 {
  36         switch (auth->type) {
  37         default:
  38         case afb_auth_No:
  39                 return 0;
  40
  41         case afb_auth_Token:
  42                 return afb_context_check(&xreq->context);
  43
  44         case afb_auth_LOA:
  45                 return afb_context_check_loa(&xreq->context, auth->loa);
  46
  47         case afb_auth_Permission:
  48                 if (xreq->cred && auth->text)
  49                         return check_permission(xreq, auth->text);
  50                 /* TODO: handle case of self permission */
  51                 return 1;
  52
  53         case afb_auth_Or:
  54                 return afb_auth_check(xreq, auth->first) || afb_auth_check(xreq, auth->next);
  55
  56         case afb_auth_And:
  57                 return afb_auth_check(xreq, auth->first) && afb_auth_check(xreq, auth->next);
  58
  59         case afb_auth_Not:
  60                 return !afb_auth_check(xreq, auth->first);
  61
  62         case afb_auth_Yes:
  63                 return 1;
  64         }
  65 }
  66
  67 /*********************************************************************************/
  68 #ifdef BACKEND_PERMISSION_IS_CYNARA
  69
  70 #include <pthread.h>
  71 #include <cynara-client.h>
  72
  73 static cynara *handle;
  74 static pthread_mutex_t mutex = PTHREAD_MUTEX_INITIALIZER;
  75
  76 static int check_permission(struct afb_xreq *xreq, const char *permission)
  77 {
  78         int rc;
  79
  80         /* cynara isn't reentrant */
  81         pthread_mutex_lock(&mutex);
  82
  83         /* lazy initialisation */
  84         if (!handle) {
  85                 rc = cynara_initialize(&handle, NULL);
  86                 if (rc != CYNARA_API_SUCCESS) {
  87                         handle = NULL;
  88                         ERROR("cynara initialisation failed with code %d", rc);
  89                         return 0;
  90                 }
  91         }
  92
  93         /* query cynara permission */
  94         rc = cynara_check(handle, xreq->cred->label, afb_context_uuid(&xreq->context), xreq->cred->user, permission);
  95
  96         pthread_mutex_unlock(&mutex);
  97         return rc == CYNARA_API_ACCESS_ALLOWED;
  98 }
  99
 100 /*********************************************************************************/
 101 #else
 102 static int check_permission(struct afb_xreq *xreq, const char *permission)
 103 {
 104         WARNING("Granting permission %s by default of backend", permission);
 105         return 1;
 106 }
 107 #endif
 108