src/afb-auth.c

   1 /*
   2  * Copyright (C) 2016, 2017 "IoT.bzh"
   3  * Author "Fulup Ar Foll"
   4  * Author José Bollo <jose.bollo@iot.bzh>
   5  *
   6  * Licensed under the Apache License, Version 2.0 (the "License");
   7  * you may not use this file except in compliance with the License.
   8  * You may obtain a copy of the License at
   9  *
  10  *   http://www.apache.org/licenses/LICENSE-2.0
  11  *
  12  * Unless required by applicable law or agreed to in writing, software
  13  * distributed under the License is distributed on an "AS IS" BASIS,
  14  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  15  * See the License for the specific language governing permissions and
  16  * limitations under the License.
  17  */
  18
  19 #define _GNU_SOURCE
  20 #define AFB_BINDING_PRAGMA_NO_VERBOSE_MACRO
  21
  22 #include <stdlib.h>
  23
  24 #include <afb/afb-auth.h>
  25
  26 #include "afb-auth.h"
  27 #include "afb-context.h"
  28 #include "afb-xreq.h"
  29 #include "afb-cred.h"
  30 #include "verbose.h"
  31
  32 static int check_permission(const char *permission, struct afb_xreq *xreq);
  33
  34 int afb_auth_check(const struct afb_auth *auth, struct afb_xreq *xreq)
  35 {
  36         switch (auth->type) {
  37         default:
  38         case afb_auth_No:
  39                 return 0;
  40
  41         case afb_auth_Token:
  42                 return afb_context_check(&xreq->context);
  43
  44         case afb_auth_LOA:
  45                 return afb_context_check_loa(&xreq->context, auth->loa);
  46
  47         case afb_auth_Permission:
  48                 return xreq->cred && auth->text && check_permission(auth->text, xreq);
  49
  50         case afb_auth_Or:
  51                 return afb_auth_check(auth->first, xreq) || afb_auth_check(auth->next, xreq);
  52
  53         case afb_auth_And:
  54                 return afb_auth_check(auth->first, xreq) && afb_auth_check(auth->next, xreq);
  55
  56         case afb_auth_Not:
  57                 return !afb_auth_check(auth->first, xreq);
  58
  59         case afb_auth_Yes:
  60                 return 1;
  61         }
  62 }
  63
  64 /*********************************************************************************/
  65 #ifdef BACKEND_PERMISSION_IS_CYNARA
  66
  67 #include <pthread.h>
  68 #include <cynara-client.h>
  69
  70 static cynara *handle;
  71 static pthread_mutex_t mutex = PTHREAD_MUTEX_INITIALIZER;
  72
  73 static int check_permission(const char *permission, struct afb_xreq *xreq)
  74 {
  75         int rc;
  76
  77         /* cynara isn't reentrant */
  78         pthread_mutex_lock(&mutex);
  79
  80         /* lazy initialisation */
  81         if (!handle) {
  82                 rc = cynara_initialize(&handle, NULL);
  83                 if (rc != CYNARA_API_SUCCESS) {
  84                         handle = NULL;
  85                         ERROR("cynara initialisation failed with code %d", rc);
  86                         return 0;
  87                 }
  88         }
  89
  90         /* query cynara permission */
  91         rc = cynara_check(handle, xreq->cred->label, afb_context_uuid(&xreq->context), xreq->cred->user, permission);
  92
  93         pthread_mutex_unlock(&mutex);
  94         return rc == CYNARA_API_ACCESS_ALLOWED;
  95 }
  96
  97 /*********************************************************************************/
  98 #else
  99 static int check_permission(const char *permission, struct afb_xreq *xreq)
 100 {
 101         WARNING("Granting permission %s by default of backend", permission);
 102         return 1;
 103 }
 104 #endif
 105