cedricAbonnel
24bb244352
Contexte : sur abonnel.fr, session_start() était appelé sur chaque
requête PHP (y compris bots), créant ~17 000 fichiers de session/jour
dans un répertoire custom non nettoyé par le cron Debian. Les workers
PHP-FPM grossissaient en mémoire et le pool saturait (1 188 erreurs
503 en 30 minutes).
Changements :
public/index.php
- session_start() uniquement si le cookie de session existe déjà ou si
la requête est POST. Les bots (GET sans cookie) ne créent plus de
session.
- CSRF commentaires migré de $_SESSION['comment_csrf'] vers un double-
submit cookie (_csrf_c, SameSite=Strict, HttpOnly). La session n'est
plus requise pour les visiteurs anonymes qui postent un commentaire.
templates/comments_section.php
- Génère le token CSRF et le pose en cookie (_csrf_c) au lieu de
l'écrire en session.
public/.htaccess
- Règle Apache 410 Gone pour toute URL contenant un paramètre ?do=
(anciens paramètres DokuWiki : do=media, do=export_pdf…). Traité par
Apache en 2ms sans toucher PHP-FPM.
public/oidc/{start,callback,me}.php
- Correction du bug introduit par 0b8077e : config.php (qui utilise
BASE_PATH) était chargé avant bootstrap.php (qui définit BASE_PATH).
Fix : define('BASE_PATH', …) ajouté avant le require config.php.
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
76 lines
2.5 KiB
PHP
76 lines
2.5 KiB
PHP
<?php
|
||
|
||
declare(strict_types=1);
|
||
|
||
if (!defined('BASE_PATH')) {
|
||
define('BASE_PATH', dirname(__DIR__, 2));
|
||
}
|
||
require_once dirname(__DIR__, 2) . '/vendor/autoload.php';
|
||
require_once dirname(__DIR__, 2) . '/config/config.php';
|
||
require_once dirname(__DIR__, 2) . '/bootstrap.php';
|
||
|
||
if (!function_exists('env')) {
|
||
function env(string $key, ?string $default = null): ?string
|
||
{
|
||
if (array_key_exists($key, $_ENV) && $_ENV[$key] !== '') {
|
||
return (string)$_ENV[$key];
|
||
}
|
||
$v = getenv($key);
|
||
if ($v !== false && $v !== '') {
|
||
return (string)$v;
|
||
}
|
||
return $default;
|
||
}
|
||
}
|
||
|
||
$flow = $_GET['flow'] ?? 'login'; // 'login' ou 'register'
|
||
if (!in_array($flow, ['login','register'], true)) {
|
||
$flow = 'login';
|
||
}
|
||
|
||
// return_to (URL relative uniquement)
|
||
$defaultReturn = '/';
|
||
$rawReturn = $_GET['return_to'] ?? ($_SERVER['HTTP_REFERER'] ?? $defaultReturn);
|
||
$returnTo = (is_string($rawReturn) && str_starts_with($rawReturn, '/')) ? $rawReturn : $defaultReturn;
|
||
|
||
// Mémorise flow + cible
|
||
$_SESSION['oidc_flow'] = $flow;
|
||
$_SESSION['oidc_return_to'] = $returnTo;
|
||
|
||
// --- OIDC conf ---
|
||
$issuer = rtrim((string)env('OIDC_ISSUER', ''), '/');
|
||
$clientId = (string)env('OIDC_CLIENT_ID', '');
|
||
$redirectUri = (string)(env('OIDC_REDIRECT_URI') ?: url('oidc/callback'));
|
||
if (!$issuer || !$clientId || !$redirectUri) {
|
||
http_response_code(500);
|
||
echo 'OIDC non configuré (OIDC_ISSUER / OIDC_CLIENT_ID / OIDC_REDIRECT_URI).';
|
||
exit;
|
||
}
|
||
|
||
// --- Endpoints & PKCE ---
|
||
$authEndpoint = $issuer . '/protocol/openid-connect/auth';
|
||
$state = bin2hex(random_bytes(16));
|
||
$nonce = bin2hex(random_bytes(16));
|
||
$codeVerifier = rtrim(strtr(base64_encode(random_bytes(32)), '+/', '-_'), '=');
|
||
$codeChallenge = rtrim(strtr(base64_encode(hash('sha256', $codeVerifier, true)), '+/', '-_'), '=');
|
||
|
||
$_SESSION['oidc_state'] = $state;
|
||
$_SESSION['oidc_nonce'] = $nonce;
|
||
$_SESSION['oidc_code_verifier'] = $codeVerifier;
|
||
|
||
// --- URL d’auth ---
|
||
$params = [
|
||
'response_type' => 'code',
|
||
'client_id' => $clientId,
|
||
'redirect_uri' => $redirectUri,
|
||
'scope' => 'openid email profile',
|
||
'state' => $state,
|
||
'nonce' => $nonce,
|
||
'code_challenge' => $codeChallenge,
|
||
'code_challenge_method' => 'S256',
|
||
'ui_locales' => 'fr',
|
||
];
|
||
|
||
header('Location: ' . $authEndpoint . '?' . http_build_query($params, '', '&', PHP_QUERY_RFC3986), true, 302);
|
||
exit;
|