src/Controller/PasswordResetController.php line 62

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. namespace App\Controller;
  7. use App\Entity\User;
  8. use App\Form\ForgotPasswordFormType;
  9. use App\Form\ResetPasswordFormType;
  10. use App\Repository\UserRepository;
  11. use App\Service\EmailSenderService;
  12. use App\Service\PasswordResetRateLimiter;
  13. use App\Service\PasswordResetService;
  14. use Doctrine\ORM\EntityManagerInterface;
  15. use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
  16. use Symfony\Component\HttpFoundation\Request;
  17. use Symfony\Component\HttpFoundation\Response;
  18. use Symfony\Component\Routing\Annotation\Route;
  19. use Symfony\Component\Routing\Generator\UrlGeneratorInterface;
  21. /**
  22.  * Contrôleur pour la réinitialisation de mot de passe
  23.  */
  24. class PasswordResetController extends AbstractController
  25. {
  26.     private $passwordResetService;
  27.     private $userRepository;
  28.     private $emailSenderService;
  29.     private $entityManager;
  30.     private $rateLimiter;
  31.     private $appUrl;
  33.     /**
  34.      * @param PasswordResetService $passwordResetService Service de réinitialisation
  35.      * @param UserRepository $userRepository Repository des utilisateurs
  36.      * @param EmailSenderService $emailSenderService Service d'envoi d'emails
  37.      * @param EntityManagerInterface $entityManager Entity Manager
  38.      * @param PasswordResetRateLimiter $rateLimiter Rate limiter
  39.      * @param string $appUrl URL de l'application
  40.      */
  41.     public function __construct(
  42.         PasswordResetService $passwordResetService,
  43.         UserRepository $userRepository,
  44.         EmailSenderService $emailSenderService,
  45.         EntityManagerInterface $entityManager,
  46.         PasswordResetRateLimiter $rateLimiter,
  47.         string $appUrl
  48.     ) {
  49.         $this->passwordResetService $passwordResetService;
  50.         $this->userRepository $userRepository;
  51.         $this->emailSenderService $emailSenderService;
  52.         $this->entityManager $entityManager;
  53.         $this->rateLimiter $rateLimiter;
  54.         $this->appUrl $appUrl;
  55.     }
  57.     /**
  58.      * Affiche le formulaire de demande de réinitialisation
  59.      * 
  60.      * @Route("/forgot-password", name="app_forgot_password")
  61.      */
  62.     public function forgotPassword(Request $request): Response
  63.     {
  64.         // Si l'utilisateur est déjà connecté, rediriger
  65.         if ($this->getUser()) {
  66.             return $this->redirectToRoute('suggestion.index');
  67.         }
  69.         // Rate limiting par IP
  70.         $clientIp $request->getClientIp();
  71.         if (!$this->rateLimiter->canRequestFromIp($clientIp)) {
  72.             $this->addFlash('error''Trop de demandes depuis votre adresse IP. Veuillez réessayer dans 1 heure.');
  73.             return $this->render('security/forgot_password.html.twig', [
  74.                 'form' => $this->createForm(ForgotPasswordFormType::class)->createView(),
  75.             ]);
  76.         }
  78.         $form $this->createForm(ForgotPasswordFormType::class);
  79.         $form->handleRequest($request);
  81.         if ($form->isSubmitted() && $form->isValid()) {
  82.             $email $form->get('email')->getData();
  83.             
  84.             // Rate limiting par email
  85.             if (!$this->rateLimiter->canRequestForEmail($email)) {
  86.                 $this->addFlash('error''Trop de demandes pour cet email. Veuillez attendre 5 minutes avant de réessayer.');
  87.                 return $this->render('security/forgot_password.html.twig', [
  88.                     'form' => $form->createView(),
  89.                 ]);
  90.             }
  92.             $user $this->userRepository->findOneBy(['email' => $email]);
  94.             // Pour la sécurité, on ne révèle pas si l'email existe ou non
  95.             // On affiche toujours le même message
  96.             if ($user && $user->isIsActive()) {
  97.                 // Invalider les anciens tokens pour cet utilisateur
  98.                 $this->passwordResetService->invalidateExistingTokens($user);
  99.                 
  100.                 // Générer un nouveau token
  101.                 $token $this->passwordResetService->generatePasswordResetToken($user);
  102.                 
  103.                 // Générer l'URL de réinitialisation
  104.                 $resetUrl $this->generateUrl(
  105.                     'app_reset_password',
  106.                     ['token' => $token],
  107.                     UrlGeneratorInterface::ABSOLUTE_URL
  108.                 );
  110.                 // Envoyer l'email
  111.                 try {
  112.                     $this->emailSenderService->sendTemplatedEmail(
  113.                         $user->getEmail(),
  114.                         'Réinitialisation de votre mot de passe bambboo',
  115.                         'emails/password_reset.html.twig',
  116.                         [
  117.                             'user' => $user,
  118.                             'resetUrl' => $resetUrl,
  119.                             'token' => $token,
  120.                         ]
  121.                     );
  122.                 } catch (\Exception $e) {
  123.                     // Ne pas révéler l'erreur à l'utilisateur
  124.                     // Logger l'erreur pour investigation
  125.                 }
  126.             }
  128.             // Toujours afficher le même message pour ne pas révéler si l'email existe
  129.             $this->addFlash('success''Si cet email existe dans notre système, vous recevrez un lien de réinitialisation.');
  130.             
  131.             return $this->redirectToRoute('app_login');
  132.         }
  134.         return $this->render('security/forgot_password.html.twig', [
  135.             'form' => $form->createView(),
  136.         ]);
  137.     }
  139.     /**
  140.      * Affiche le formulaire de réinitialisation avec le token
  141.      * 
  142.      * @Route("/reset-password/{token}", name="app_reset_password")
  143.      */
  144.     public function resetPassword(Request $requeststring $token): Response
  145.     {
  146.         // Si l'utilisateur est déjà connecté, rediriger
  147.         if ($this->getUser()) {
  148.             return $this->redirectToRoute('suggestion.index');
  149.         }
  151.         // Rate limiting sur les tentatives de validation
  152.         if (!$this->rateLimiter->canValidateToken($token)) {
  153.             $this->addFlash('error''Trop de tentatives avec ce lien. Veuillez demander un nouveau lien de réinitialisation.');
  154.             return $this->redirectToRoute('app_forgot_password');
  155.         }
  157.         // Valider le token
  158.         $user $this->passwordResetService->validatePasswordResetToken($token);
  160.         if (!$user) {
  161.             $this->addFlash('error''Ce lien de réinitialisation est invalide ou a expiré.');
  162.             return $this->redirectToRoute('app_forgot_password');
  163.         }
  165.         $form $this->createForm(ResetPasswordFormType::class);
  166.         $form->handleRequest($request);
  168.         if ($form->isSubmitted() && $form->isValid()) {
  169.             $newPassword $form->get('plainPassword')->getData();
  170.             
  171.             // Réinitialiser le mot de passe
  172.             $this->passwordResetService->resetPassword($user$newPassword);
  173.             
  174.             // Réinitialiser les compteurs de rate limiting pour cet email
  175.             $this->rateLimiter->resetEmailCounter($user->getEmail());
  177.             $this->addFlash('success''Votre mot de passe a été réinitialisé avec succès. Vous pouvez maintenant vous connecter.');
  178.             
  179.             return $this->redirectToRoute('app_login');
  180.         }
  182.         return $this->render('security/reset_password.html.twig', [
  183.             'form' => $form->createView(),
  184.             'token' => $token,
  185.         ]);
  186.     }
  187. }