src/Controller/SecurityController.php line 41

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. namespace App\Controller;
  7. use App\Entity\User;
  8. use App\Form\SigninRegistrationFormType;
  9. use App\Repository\ClientRepository;
  10. use App\Repository\UserRepository;
  11. use App\Service\RecaptchaService;
  12. use DateTimeImmutable;
  13. use Doctrine\ORM\EntityManagerInterface;
  14. use MobileDetectBundle\DeviceDetector\MobileDetectorInterface;
  15. use Psr\Log\LoggerInterface;
  16. use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
  17. use Symfony\Component\HttpFoundation\Request;
  18. use Symfony\Component\HttpFoundation\Response;
  19. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  20. use Symfony\Component\PasswordHasher\Hasher\UserPasswordHasherInterface;
  21. use Symfony\Component\Routing\Annotation\Route;
  22. use Symfony\Component\Security\Http\Authentication\AuthenticationUtils;
  24. class SecurityController extends AbstractController
  25. {
  26.   private $userRepository;
  27.   private $logger;
  29.   public function __construct(UserRepository $userRepositoryLoggerInterface $logger)
  30.   {
  31.     $this->userRepository $userRepository;
  32.     $this->logger $logger;
  33.   }
  35.   /**
  36.    * Page d'accueil et connexion classique (email/password)
  37.    * 
  38.    * @Route("/", name="home")
  39.    * @Route("/login", name="app_login")
  40.    */
  41.   public function home(AuthenticationUtils $authenticationUtilsRequest $request): Response
  42.   {
  43.     // Si l'utilisateur est déjà authentifié, rediriger vers le dashboard
  44.     if ($this->getUser()) {
  45.       return $this->redirectToRoute('suggestion.index');
  46.     }
  48.     $isInactive = ($request->query->get('isInactive') != null) ? 0;
  49.     $error $authenticationUtils->getLastAuthenticationError();
  50.     $prefilledEmail $request->query->get('email''');
  51.     $isRedirected = ($request->query->get('redirected') == '1');
  53.     // Si un token est présent, récupérer l'email de l'utilisateur correspondant
  54.     $token $request->query->get('token''');
  55.     if (!empty($token) && empty($prefilledEmail)) {
  56.       $user $this->userRepository->findOneBy(['token' => $token]);
  58.       // ✅ Vérifications de sécurité (Option 3)
  59.       if ($user) {
  60.         // Vérifier que le compte est actif
  61.         if (!$user->isIsActive()) {
  62.           $this->addFlash('error''Ce compte est inactif.');
  63.           return $this->redirectToRoute('app_login');
  64.         }
  66.         $prefilledEmail $user->getEmail();
  67.       }
  68.     }
  70.     // Vérifier si l'utilisateur (si email pré-rempli) n'a pas de mot de passe
  71.     // Ce sont les utilisateurs ANCIENS créés avant l'implémentation du système de mot de passe
  72.     $userHasNoPassword false;
  73.     if (!empty($prefilledEmail)) {
  74.       $user $this->userRepository->findOneBy(['email' => $prefilledEmail]);
  75.       if ($user && empty($user->getPassword())) {
  76.         $userHasNoPassword true;
  77.       }
  78.     }
  80.     return $this->render('page/index.html.twig', [
  81.       'error' => $error,
  82.       'isInactive' => $isInactive,
  83.       'prefilledEmail' => $prefilledEmail,
  84.       'isRedirected' => $isRedirected,
  85.       'userHasNoPassword' => $userHasNoPassword
  86.     ]);
  87.   }
  90.   /**
  91.    * Page d'inscription depuis un lien client (slug/token)
  92.    * 
  93.    * @Route("/{slug}/{token}", name="client.signin")
  94.    */
  95.   public function signin(
  96.     string $slug,
  97.     string $token,
  98.     ClientRepository $clientRepository,
  99.     AuthenticationUtils $authenticationUtils,
  100.     SessionInterface $session,
  101.     Request $request,
  102.     UserRepository $userRepository,
  103.     EntityManagerInterface $entityManager,
  104.     UserPasswordHasherInterface $userPasswordHasher,
  105.     RecaptchaService $recaptchaService,
  106.     MobileDetectorInterface $mobileDetector
  107.   ): Response {
  108.     // Si l'utilisateur est déjà authentifié, on exécute directement la logique post-login
  109.     if ($this->getUser()) {
  110.       return $this->forward(PostLoginController::class . '::handlePostLogin');
  111.     }
  113.     $session->remove('linkedin_cookies');
  114.     $client $clientRepository->findOneBy(['slug' => $slug]);
  116.     $session->set('origin'$request->getRequestUri());
  118.     if (!$client) {
  119.       return $this->redirectToRoute('home');
  120.     }
  122.     $canSignIn 1;
  123.     $role = [];
  125.     if ($token === $client->getTokenRecruiter()) {
  126.       $role = ["ROLE_RECRUITER"];
  127.       $maxUser $client->getMaxRecruiter();
  128.       if ($maxUser) {
  129.         $coworkers count($userRepository->getCoworkers($client));
  131.         if ($coworkers >= $maxUser) {
  132.           $canSignIn 0;
  133.         }
  134.       }
  135.     } elseif ($token === $client->getTokenCooptor()) {
  136.       $role = ["ROLE_COOPTOR"];
  137.       $maxUser $client->getMaxCooptor();
  138.       if ($maxUser) {
  139.         $coworkers count($userRepository->getCoworkers($client));
  141.         if ($coworkers >= $maxUser) {
  142.           $canSignIn 0;
  143.         }
  144.       }
  145.     } else {
  146.       return $this->redirectToRoute('home');
  147.     }
  149.     $session->set('client_id'$client->getId());
  150.     $session->set('role'$role);
  152.     $error $authenticationUtils->getLastAuthenticationError();
  154.     $isMobile $mobileDetector->isMobile();
  156.     // Créer le formulaire d'inscription
  157.     $user = new User();
  158.     $form $this->createForm(SigninRegistrationFormType::class, $user);
  159.     $form->handleRequest($request);
  161.     if ($form->isSubmitted()) {
  162.       $submittedEmail null;
  163.       try {
  164.         $submittedEmail $form->get('email')->getData();
  165.       } catch (\Throwable $e) {
  166.         $submittedEmail null;
  167.       }
  169.       $skipConfirmationRaw null;
  170.       if ($form->has('skipPasswordConfirmation')) {
  171.         $skipConfirmationRaw $form->get('skipPasswordConfirmation')->getData();
  172.       }
  174.       $confirmationProvided null;
  175.       if ($form->has('plainPasswordConfirmation')) {
  176.         $confirmationProvided = !empty($form->get('plainPasswordConfirmation')->getData());
  177.       }
  179.       $this->logger->info('SIGNUP: formulaire soumis', [
  180.         'route' => 'client.signin',
  181.         'method' => $request->getMethod(),
  182.         'slug' => $slug,
  183.         'is_mobile' => $isMobile,
  184.         'email' => $submittedEmail,
  185.         'skip_confirmation_raw' => $skipConfirmationRaw,
  186.         'confirmation_provided' => $confirmationProvided,
  187.       ]);
  188.     }
  190.     // Vérifier si un utilisateur existe déjà AVANT la validation du formulaire
  191.     // pour éviter que la contrainte @UniqueEntity n'affiche l'erreur
  192.     if ($form->isSubmitted()) {
  193.       $email $form->get('email')->getData();
  194.       if ($email) {
  195.         $existingUser $userRepository->findOneBy(['email' => $email]);
  196.         if ($existingUser) {
  197.           $this->logger->warning('SIGNUP: email déjà existant', [
  198.             'email' => $email,
  199.             'existing_user_id' => $existingUser->getId(),
  200.             'is_mobile' => $isMobile,
  201.           ]);
  202.           // Afficher un message et rediriger via JavaScript après 2 secondes
  203.           // Récupérer la clé reCAPTCHA uniquement si l'utilisateur n'est pas connecté
  204.           $recaptchaSiteKey '';
  205.           if (!$this->getUser()) {
  206.             try {
  207.               $recaptchaSiteKey $this->getParameter('app.recaptcha_enterprise_site_key') ?? '';
  208.             } catch (\Exception $e) {
  209.               $recaptchaSiteKey '';
  210.             }
  211.           }
  213.           return $this->render('client/signin.html.twig', [
  214.             'client' => $client,
  215.             'error' => $error,
  216.             'canSignIn' => $canSignIn,
  217.             'form' => $form->createView(),
  218.             'recaptcha_site_key' => $recaptchaSiteKey,
  219.             'existingUserEmail' => $email,
  220.             'showRedirectMessage' => true,
  221.           ]);
  222.         }
  223.       }
  224.     }
  226.     if ($form->isSubmitted() && !$form->isValid()) {
  227.       $errors = [];
  228.       foreach ($form->getErrors(true) as $errorItem) {
  229.         $origin $errorItem->getOrigin();
  230.         $errors[] = [
  231.           'field' => $origin $origin->getName() : null,
  232.           'message' => $errorItem->getMessage(),
  233.         ];
  234.       }
  236.       $this->logger->warning('SIGNUP: formulaire invalide', [
  237.         'is_mobile' => $isMobile,
  238.         'email' => $form->has('email') ? $form->get('email')->getData() : null,
  239.         'errors' => $errors,
  240.       ]);
  241.     }
  243.     if ($form->isSubmitted() && $form->isValid()) {
  244.       // Validation reCAPTCHA Enterprise uniquement si l'utilisateur n'est pas connecté
  245.       if (!$this->getUser()) {
  246.         $recaptchaToken $form->get('recaptcha_token')->getData();
  247.         $recaptchaResult $recaptchaService->verify(
  248.           $recaptchaToken ?? '',
  249.           $request->getClientIp(),
  250.           0.3 // Score minimum requis (abaissé pour être plus souple)
  251.         );
  253.         // En mode souple, on ne bloque jamais l'inscription même si le reCAPTCHA échoue
  254.         // On peut juste logger pour monitoring
  255.         if (!$recaptchaResult['success']) {
  256.           // Log pour monitoring mais on continue quand même
  257.           // (décommenter si vous voulez logger)
  258.           // $this->logger->warning('reCAPTCHA validation failed but continuing', ['errors' => $recaptchaResult['errors']]);
  259.         }
  260.       }
  262.       // Encoder le mot de passe
  263.       $hashedPassword $userPasswordHasher->hashPassword(
  264.         $user,
  265.         $form->get('plainPassword')->getData()
  266.       );
  267.       $user->setPassword($hashedPassword);
  269.       // Configurer l'utilisateur
  270.       $user->setRoles($role);
  271.       $user->setClient($client);
  272.       $user->setOrigin($request->getRequestUri());
  273.       $user->setCreatedAt(new DateTimeImmutable());
  274.       $user->setModifiedAt(new DateTimeImmutable());
  275.       $user->setIsVerified(false);
  276.       $user->setIsActive(true);
  277.       $user->setHasExtension(0);
  278.       $user->setHasSeenLinkedinPreviewModal(false);
  279.       $user->setIsSuggestionTourHidden(false);
  280.       $user->setOnboardingStep('phone');
  282.       // Génération du token
  283.       $bytes random_bytes(24);
  284.       $tokenValue rtrim(strtr(base64_encode($bytes), '+/''-_'), '=');
  285.       $user->setToken($tokenValue);
  287.       // Génération du rememberMeKey
  288.       $rememberMeKey bin2hex(random_bytes(32));
  289.       $user->setRememberMeKey($rememberMeKey);
  291.       $entityManager->persist($user);
  292.       try {
  293.         $entityManager->flush();
  294.       } catch (\Throwable $e) {
  295.         $this->logger->error('SIGNUP: erreur lors du flush utilisateur', [
  296.           'is_mobile' => $isMobile,
  297.           'email' => $user->getEmail(),
  298.           'exception' => $e->getMessage(),
  299.         ]);
  300.         throw $e;
  301.       }
  303.       $this->logger->info('SIGNUP: utilisateur créé', [
  304.         'user_id' => $user->getId(),
  305.         'email' => $user->getEmail(),
  306.         'client_id' => $client->getId(),
  307.         'is_mobile' => $isMobile,
  308.       ]);
  310.       // Authentifier l'utilisateur automatiquement
  311.       $token = new \Symfony\Component\Security\Core\Authentication\Token\UsernamePasswordToken(
  312.         $user,
  313.         'main',
  314.         $user->getRoles()
  315.       );
  316.       $this->container->get('security.token_storage')->setToken($token);
  317.       $session->set('_security_main'serialize($token));
  319.       // Rediriger vers l'étape téléphone
  320.       return $this->redirectToRoute('onboarding.phone');
  321.     }
  323.     // Récupérer la clé reCAPTCHA uniquement si l'utilisateur n'est pas connecté
  324.     $recaptchaSiteKey '';
  325.     if (!$this->getUser()) {
  326.       try {
  327.         $recaptchaSiteKey $this->getParameter('app.recaptcha_enterprise_site_key') ?? '';
  328.       } catch (\Exception $e) {
  329.         // Si le paramètre n'existe pas, on continue sans reCAPTCHA
  330.         $recaptchaSiteKey '';
  331.       }
  332.     }
  334.     return $this->render('client/signin.html.twig', [
  335.       'client' => $client,
  336.       'error' => $error,
  337.       'canSignIn' => $canSignIn,
  338.       'form' => $form->createView(),
  339.       'recaptcha_site_key' => $recaptchaSiteKey,
  340.       'showRedirectMessage' => false,
  341.       'existingUserEmail' => null,
  342.     ]);
  343.   }
  346.   /**
  347.    * @Route("/logout", name="app_logout")
  348.    */
  349.   public function logout(): void
  350.   {
  351.     // Ce code ne sera jamais exécuté, Symfony intercepte cette route pour gérer la déconnexion
  352.     throw new \LogicException('Logout route');
  353.   }
  354. }