Merge branch 'doubleauth'

This reverts commit 4ecace2b42.

CHANGES.md

@@ -2,13 +2,15 @@
 
 ## Versions 13.5.00
 **Améliorations :**
+- Validation de la connexion au site grâce à l'envoi d'un code par email. L'option est activée depuis la configuration du site, onglet connexion. Elle s'active par groupe montant, exemple "éditeur" pour éditeurs et administrateurs.
 - Optimisation du chargement des variables de classe.
 - Suppression de redondance de déclaration des charset.
 
-**Corrections : **
+**Corrections :**
 - Corrige un bug de changement de mot de passe pour les comptes non admin.
 - Blog 7.12, corrige un bug d'affichage des articles lorsque le thème Moderne est sélectionné.
 - Corrige un dysfonctionnement de la fonction de tronquage subword qui perturbait l'affichage des articles de blog.
+- Activation de la mémorisation de l'onglet actif dans la configuration après validation du formulaire ou visite d'une autre page du site.
 
 ## Versions 13.4.00
 ** Améliorations :**

core/class/helper.class.php

@@ -343,7 +343,7 @@ class helper
 	public static function checkRewrite()
 	{
 		// N'interroge que le serveur Apache
-		if (strpos($_SERVER["SERVER_SOFTWARE"], 'Apache') > 0) {
+		if ((helper::checkServerSoftware() === false)) {
 			self::$rewriteStatus = false;
 		} else {
 			// Ouvre et scinde le fichier .htaccess
@@ -354,6 +354,14 @@ class helper
 		return self::$rewriteStatus;
 	}
 	
+	/**
+	 * Retourne vrai ou faux selon que le serveur est comptatible avec htaccess
+	 * @return bool
+	 */
+	public static function checkServerSoftware() {
+		return (stripos($_SERVER['SERVER_SOFTWARE'], 'Apache') !== false || stripos($_SERVER['SERVER_SOFTWARE'], 'LiteSpeed')  !== false);
+	}
+
 	/**
 	 * Renvoie le numéro de version de Zwii est en ligne
 	 * @return string

core/module/config/config.php

@@ -496,7 +496,8 @@ class config extends common
 						'autoDisconnect' => $this->getInput('connectAutoDisconnect', helper::FILTER_BOOLEAN),
 						'captchaType' => $this->getInput('connectCaptchaType'),
 						'showPassword' => $this->getInput('connectShowPassword', helper::FILTER_BOOLEAN),
-						'redirectLogin' => $this->getInput('connectRedirectLogin', helper::FILTER_BOOLEAN)
+						'redirectLogin' => $this->getInput('connectRedirectLogin', helper::FILTER_BOOLEAN),
+						'mailAuth' => $this->getInput('connectAuthMail', helper::FILTER_BOOLEAN),
 					]
 				]
 			]);

core/module/config/view/connect/connect.php

@@ -3,13 +3,7 @@
 		<div class="col12">
 			<div class="block">
 				<h4><?php echo helper::translate('Sécurité de la connexion'); ?>
-					<!--<span id="specialeHelpButton" class="helpDisplayButton">
-						<a href="https://doc.zwiicms.fr/connexion" target="_blank" title="Cliquer pour consulter l'aide en ligne">
-							<?php // echo template::ico('help', ['margin' => 'left']); ?>
-						</a>
-					</span>-->
 				</h4>
-
 				<div class="row">
 					<div class="col4">
 						<?php echo template::checkbox('connectShowPassword', true, 'Dévoiler le mot de passe', [
@@ -31,44 +25,36 @@
 					</div>
 				</div>
 				<div class="row">
-					<div class="col3">
+					<div class="col4">
 						<?php echo template::select('connectAttempt', $module::$connectAttempt, [
 							'label' => 'Limitation des tentatives',
 							'selected' => $this->getData(['config', 'connect', 'attempt'])
 						]); ?>
 					</div>
-					<div class="col3">
+					<div class="col4">
 						<?php echo template::select('connectTimeout', $module::$connectTimeout, [
 							'label' => 'Blocage après échecs',
 							'selected' => $this->getData(['config', 'connect', 'timeout'])
 						]); ?>
 					</div>
-					<div class="col3 verticalAlignBottom">
-						<label id="helpBlacklist"><?php echo helper::translate('Liste noire'); ?>
-							<?php echo template::help(
-								'La liste noire énumère les tentatives de connexion à partir de comptes inexistants. Sont stockés : la date, l\'heure, le nom du compte et l\'IP.
-							Après le nombre de tentatives autorisées, l\'IP et le compte sont bloqués.'
-							);
-							?>
-						</label>
-						<?php echo template::button('ConnectBlackListDownload', [
-							'href' => helper::baseUrl() . 'config/blacklistDownload',
-							'value' => 'Télécharger la liste',
-							'ico' => 'download'
+					<div class="col4">
+						<?php echo template::select('connectAuthMail', array_merge([''=>'Aucune'], self::$groupNews), [
+							'label' => 'Validation par messagerie',
+							'selected' => $this->getData(['config', 'connect', 'mailAuth']),
+							'help' => 'La connexion est confirmée par une clé adressée par messagerie. Depuis le groupe sélectionnée et les groupes supérieurs.'
 						]); ?>
 					</div>
-					<div class="col3 verticalAlignBottom">
-						<?php echo template::button('CnnectBlackListReset', [
-							'class' => 'buttonRed',
-							'href' => helper::baseUrl() . 'config/blacklistReset',
-							'value' => 'Réinitialiser la liste',
-							'ico' => 'trash'
-						]); ?>
+					
 				</div>
 			</div>
+		</div>
+		<div class="col12">
+			<div class="block">
+				<h4><?php echo helper::translate('Captcha à la connexion'); ?>
+				</h4>
 				<div class="row">
 					<div class="col3">
-						<?php echo template::checkbox('connectCaptcha', true, 'Captcha à la connexion', [
+						<?php echo template::checkbox('connectCaptcha', true, 'Activer', [
 							'checked' => $this->getData(['config', 'connect', 'captcha'])
 						]); ?>
 					</div>
@@ -92,34 +78,32 @@
 		<div class="col12">
 			<div class="block">
 				<h4><?php echo helper::translate('Journalisation'); ?>
-					<!--<span id="specialeHelpButton" class="helpDisplayButton">
-						<a href="https://doc.zwiicms.fr/journalisation" target="_blank" title="Cliquer pour consulter l'aide en ligne">
-							<?php // echo template::ico('help', ['margin' => 'left']); ?>
-						</a>
-					</span>
-					-->
 				</h4>
 				<div class="row">
-					<div class="col3">
+					<div class="col6">
+						<div class="row">
+							<div class="col6">
 								<?php echo template::checkbox('connectLog', true, 'Activer la journalisation', [
 									'checked' => $this->getData(['config', 'connect', 'log'])
 								]); ?>
 							</div>
-					<div class="col3">
+							<div class="col6">
 								<?php echo template::select('connectAnonymousIp', $module::$anonIP, [
 									'label' => 'Anonymat des adresses IP',
 									'selected' => $this->getData(['config', 'connect', 'anonymousIp']),
 									'help' => 'La règlementation française impose un anonymat de niveau 2'
 								]); ?>
 							</div>
-					<div class="col3 verticalAlignBottom">
+						</div>
+						<div class="row">
+							<div class="col6 ">
 								<?php echo template::button('ConfigLogDownload', [
 									'href' => helper::baseUrl() . 'config/logDownload',
 									'value' => 'Télécharger le journal',
 									'ico' => 'download'
 								]); ?>
 							</div>
-					<div class="col3 verticalAlignBottom">
+							<div class="col6">
 								<?php echo template::button('ConnectLogReset', [
 									'class' => 'buttonRed',
 									'href' => helper::baseUrl() . 'config/logReset',
@@ -129,6 +113,34 @@
 							</div>
 						</div>
 					</div>
+					<div class="col6 verticalAlignBottom">
+						<div class="row">
+							<div class="col6 verticalAlignBottom">
+								<label id="helpBlacklist"><?php echo helper::translate('Liste noire'); ?>
+									<?php echo template::help(
+										'La liste noire énumère les tentatives de connexion à partir de comptes inexistants. Sont stockés : la date, l\'heure, le nom du compte et l\'IP.
+							Après le nombre de tentatives autorisées, l\'IP et le compte sont bloqués.'
+									);
+									?>
+								</label>
+								<?php echo template::button('ConnectBlackListDownload', [
+									'href' => helper::baseUrl() . 'config/blacklistDownload',
+									'value' => 'Télécharger la liste',
+									'ico' => 'download'
+								]); ?>
+							</div>
+							<div class="col6 verticalAlignBottom">
+								<?php echo template::button('CnnectBlackListReset', [
+									'class' => 'buttonRed',
+									'href' => helper::baseUrl() . 'config/blacklistReset',
+									'value' => 'Réinitialiser la liste',
+									'ico' => 'trash'
+								]); ?>
+							</div>
+						</div>
+					</div>
+				</div>
+			</div>
 		</div>
 	</div>
 </div>

core/module/config/view/index/index.php

@@ -22,23 +22,23 @@
     <?php echo template::button('configSetupButton', [
         'value' => 'Configuration',
         'class' => 'buttonTab',
-		//'href' => helper::baseUrl() . 'config/register/setup'
+		'href' => helper::baseUrl() . 'config/register/setup'
     ]); ?>
     <?php echo template::button('configSocialButton', [
         'value' => 'Référencement',
         'class' => 'buttonTab',
-		//'href' => helper::baseUrl() . 'config/register/social'
+		'href' => helper::baseUrl() . 'config/register/social'
     ]); ?>
 
     <?php echo template::button('configConnectButton', [
         'value' => 'Connexion',
         'class' => 'buttonTab',
-		//'href' => helper::baseUrl() . 'config/register/connect'
+		'href' => helper::baseUrl() . 'config/register/connect'
     ]); ?>
     <?php echo template::button('configNetworkButton', [
         'value' => 'Réseau',
         'class' => 'buttonTab',
-		//'href' => helper::baseUrl() . 'config/register/network' 
+		'href' => helper::baseUrl() . 'config/register/network' 
     ]); ?>
 </div>
 

core/module/config/view/setup/setup.php

@@ -44,7 +44,7 @@
 						<?php echo template::checkbox('configRewrite', true, 'Apache URL intelligentes', [
 							'checked' => helper::checkRewrite(),
 							'help' => 'Supprime le point d\'interrogation dans les URL, l\'option est indisponible avec les autres serveurs Web',
-							'disabled' => stripos($_SERVER["SERVER_SOFTWARE"], 'Apache') === false and $module->isModRewriteEnabled()
+							'disabled' => helper::checkServerSoftware() === false and $module->isModRewriteEnabled()
 						]); ?>
 					</div>
 				</div>

core/module/user/user.php

@@ -26,6 +26,7 @@ class user extends common
 		'logout' => self::GROUP_MEMBER,
 		'forgot' => self::GROUP_VISITOR,
 		'login' => self::GROUP_VISITOR,
+		'auth' => self::GROUP_VISITOR,
 		'reset' => self::GROUP_VISITOR,
 		'profil' => self::GROUP_ADMIN,
 		'profilEdit' => self::GROUP_ADMIN,
@@ -66,7 +67,7 @@ class user extends common
 
 	public static $groupProfils = [
 		self::GROUP_MEMBER => 'Membre',
-		self::GROUP_EDITOR => 'Éditeur'
+		self::GROUP_EDITOR => 'Éditeur',
 	];
 
 	public static $listModules = [];
@@ -1043,14 +1044,47 @@ class user extends common
 					and $this->getData(['user', $userId, 'group']) >= self::GROUP_MEMBER
 					and $captcha === true
 				) {
-					// RAZ
+
+					// RAZ des compteurs de blocage
 					$this->setData(['user', $userId, 'connectFail', 0], false);
 					$this->setData(['user', $userId, 'connectTimeout', 0], false);
 
-					// Clé d'authenfication
+					// Accès multiples avec le même compte
+					$this->setData(['user', $userId, 'accessCsrf', $_SESSION['csrf']], false);
+
+					// Valeurs en sortie lorsque le site est en maintenance et que l'utilisateur n'est pas administrateur
+					if (
+						$this->getData(['config', 'maintenance'])
+						and $this->getData(['user', $userId, 'group']) < self::GROUP_ADMIN
+					) {
+						$this->addOutput([
+							'notification' => helper::translate('Seul un administrateur peut se connecter lors d\'une maintenance'),
+							'redirect' => helper::baseUrl(),
+							'state' => false
+						]);
+					} else {
+						/**
+						 * Le site n'est pas en maintenance
+						 * Double authentification en cas de saisie correcte 
+						 */
+
+						// Clé d'authenfication utlisée pour lié le compte au cookie au lieu de stocke le hash du mot de passe
 						$authKey = uniqid('', true) . bin2hex(random_bytes(8));
+						if ($this->getData(['config', 'connect', 'mailAuth']) >= $this->getData(['user', $userId, 'group'])) {
+							$logStatus = 'Envoi du mail d\'authentification';
+							// Redirection vers la page d'authentification
+							$authRedirect = 'user/auth/';
+							// Stocker la clé envoyée par email
+							$this->setData(['user', $userId, 'authKey', rand(100000, 999999)]);
+
+						} else {
+							$logStatus = 'Connexion réussie';
+							// La page d'autentification est vide
+							$authRedirect = '';
 							$this->setData(['user', $userId, 'authKey', $authKey]);
 
+						}
+
 						// Validité du cookie
 						$expire = $this->getInput('userLoginLongTime', helper::FILTER_BOOLEAN) === true ? strtotime("+1 year") : 0;
 						switch ($this->getInput('userLoginLongTime', helper::FILTER_BOOLEAN)) {
@@ -1072,20 +1106,6 @@ class user extends common
 								break;
 						}
 
-					// Accès multiples avec le même compte
-					$this->setData(['user', $userId, 'accessCsrf', $_SESSION['csrf']], false);
-					// Valeurs en sortie lorsque le site est en maintenance et que l'utilisateur n'est pas administrateur
-					if (
-						$this->getData(['config', 'maintenance'])
-						and $this->getData(['user', $userId, 'group']) < self::GROUP_ADMIN
-					) {
-						$this->addOutput([
-							'notification' => helper::translate('Seul un administrateur peut se connecter lors d\'une maintenance'),
-							'redirect' => helper::baseUrl(),
-							'state' => false
-						]);
-					} else {
-						$logStatus = 'Connexion réussie';
 						$pageId = $this->getUrl(2);
 						if (
 							$this->getData(['config', 'page404']) === $pageId
@@ -1093,7 +1113,7 @@ class user extends common
 						) {
 							$pageId = '';
 						}
-						$redirect = ($pageId && strpos($pageId, 'user_reset') !== 0) ? helper::baseUrl() . str_replace('_', '/', str_replace('__', '#', $pageId)) : helper::baseUrl();
+						$redirect = ($pageId && strpos($pageId, 'user_reset') !== 0) ? helper::baseUrl() . $authRedirect . str_replace('_', '/', str_replace('__', '#', $pageId)) : helper::baseUrl() . $authRedirect;
 						// Valeurs en sortie
 						$this->addOutput([
 							'notification' => sprintf(helper::translate('Bienvenue %s %s'), $this->getData(['user', $userId, 'firstname']), $this->getData(['user', $userId, 'lastname'])),
@@ -1142,16 +1162,107 @@ class user extends common
 		]);
 	}
 
+	/**
+	 * 
+	 * Validation de la connexion par email
+	 * @return void
+	 */
+	public function auth()
+	{
+		// Soumission du formulaire
+		if (
+			$this->isPost()
+		) {
+			// Vérifier la clé saisie
+			$targetKey = $this->getData(['user', $this->getUser('id'), 'authKey']);
+			$inputKey = $this->getInput('userAuthKey', helper::FILTER_INT);
+			if (
+				$targetKey === $inputKey &&
+				$this->getData(['user', $this->getUser('id'), 'connectTimeout']) + 3600 >= time()
+			) {
+				$pageId = $this->getUrl(2);
+				// La fiche de l'utilisateur contient la clé d'authentification
+				$this->setData(['user', $this->getUser('id'), 'authKey', $this->getInput('ZWII_AUTH_KEY')]);
+				$redirect = ($pageId && strpos($pageId, 'user_reset') !== 0) ? helper::baseUrl() . str_replace('_', '/', str_replace('__', '#', $pageId)) : helper::baseUrl();
+				// Journalisation
+				$this->saveLog('Connexion réussie');
+				// Réinitialiser le compteur de temps
+				$this->setData(['user', $this->getUser('id'), 'connectTimeout', 0]);
+				// Valeurs en sortie
+				$this->addOutput([
+					'redirect' => $redirect,
+					'notification' => helper::translate('Connexion réussie'),
+					'state' => true
+				]);
+			} else {
+
+				// Supprime la clé stockée et le temps limite
+				$this->deleteData(['user', $this->getUser('id'), 'authKey']);
+				// Réinitialiser le compteur de temps
+				$this->setData(['user', $this->getUser('id'), 'connectTimeout', 0]);
+
+				// Détruit les cookies d'authenfication
+				helper::deleteCookie('ZWII_USER_ID');
+				helper::deleteCookie('ZWII_AUTH_KEY');
+
+				// Détruit la session
+				session_destroy();
+
+				// Journalisation
+				$this->saveLog('Erreur de vérification de la clé envoyée par email ' . $this->getUser('id'));
+
+				// Valeurs en sortie
+				$this->addOutput([
+					'redirect' => helper::baseUrl(),
+					'notification' => helper::translate('La clé est incorrecte'),
+					'state' => false
+				]);
+			}
+		} else {
+			/**
+			 * Envoi d'un email contenant une clé 
+			 * Stockage de la clé dans le compte de l'utilisateur
+			 */
+			// La clé est envoyée une seule fois
+			$sent = false;
+			if (
+				$this->getData(['user', $this->getUser('id'), 'authKey'])
+				&& $this->getData(['user', $this->getUser('id'), 'connectTimeout']) === 0
+			) {
+				$sent = $this->sendMail(
+					$this->getUser('mail'),
+					'Tentative de connexion à votre',
+					//'Bonjour <strong>' . $item['prenom'] . ' ' . $item['nom'] . '</strong>,<br><br>' .
+					'<p>Clé de validation à saisir dans le formulaire :</p>' .
+					'<h1><center>' . $this->getData(['user', $this->getUser('id'), 'authKey']) . '</center></h1>',
+					null,
+					$this->getData(['config', 'smtp', 'from'])
+				);
+				// Stocker l'envoi de l'email
+				$this->setData(['user', $this->getUser('id'), 'connectTimeout', time()]);
+			}
+
+			// Message envoyé sinon la connexion est réalisée pour ne pas bloquer.
+			if ($sent === false) {
+
+			}
+			// Valeurs en sortie
+			$this->addOutput([
+				'title' => helper::translate('Double authentification'),
+				'view' => 'auth',
+				'display' => self::DISPLAY_LAYOUT_LIGHT,
+			]);
+		}
+	}
 
 	/**
 	 * Déconnexion
 	 */
 	public function logout()
 	{
+		// Détruit les cookies d'authenfication
 		helper::deleteCookie('ZWII_USER_ID');
-		//helper::deleteCookie('ZWII_USER_PASSWORD');
 		helper::deleteCookie('ZWII_AUTH_KEY');
-
 		// Détruit la session
 		session_destroy();
 

core/module/user/view/auth/auth.css

@@ -0,0 +1,36 @@
+/**
+ * This file is part of Zwii.
+ *
+ * For full copyright and license information, please see the LICENSE
+ * file that was distributed with this source code.
+ *
+ * @author Rémi Jean <remi.jean@outlook.com>
+ * @copyright Copyright (C) 2008-2018, Rémi Jean
+ * @author Frédéric Tempez <frederic.tempez@outlook.com>
+ * @copyright Copyright (C) 2018-2024, Frédéric Tempez
+ * @license CC Attribution-NonCommercial-NoDerivatives 4.0 International
+ * @link http://zwiicms.fr/
+ */
+
+/** @import url("site/data/admin.css"); */
+
+/** NE PAS EFFACER
+* admin.css
+*/
+
+@media screen and (max-width: 768px) {
+    #buttonsContainer {
+        display: grid;
+    }
+    #loginContainer {
+        order: 1;
+    }
+    #backContainer{
+        order: 2;
+    }
+}
+
+#userAuthKey {
+    text-align: center;
+    font-size: 1.3rem;
+}

core/module/user/view/auth/auth.php

@@ -0,0 +1,23 @@
+<?php echo template::formOpen('userAuthForm'); ?>
+<div class="row">
+    <div class="col6 offset3">
+        <?php echo template::text('userAuthKey', [
+            'label' => helper::translate('Clé reçue par couriel')
+        ]); ?>
+    </div>
+</div>
+<div class="row" id="buttonsContainer">
+    <div class="col2" id="backContainer">
+        <?php echo template::button('userAuthBack', [
+            'href' => $this->getUrl(2) ? helper::baseUrl() . ' user/login' . str_replace('_', '/', str_replace('__', '#', $this->getUrl(2))) : helper::baseUrl() . ' user/login',
+            'value' => template::ico('left')
+        ]); ?>
+    </div>
+    <div class="col3 offset7" id="loginContainer">
+        <?php echo template::submit('userLoginSubmit', [
+            'value' => helper::translate('Authentification'),
+            'ico' => ''
+        ]); ?>
+    </div>
+</div>
+<?php echo template::formClose(); ?>