Acasă Explorează Ajutor
Înregistrare Autentificare
NetTown
/
nettown_backend
2
0
Bifurcare 0
Fisiere Probleme 0 Trageți solicitările 0 Wiki
Ramură: master
Ramuri Etichete
nettown_backend
/
middlewares
/
JwtAuthMiddleware.php

JwtAuthMiddleware.php 2.8 KB
Permalink Istoric Crud

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374 
  1. <?php
    2. 

  2. 

  3. namespace Middlewares;
    4. 

  4. 

  5. use Firebase\JWT\JWT;
    6. 

  6. use Firebase\JWT\Key;
    7. 

  7. use Libs\Database;
    8. 

  8. use Libs\Logger;
    9. 

  9. use Libs\Payload;
    10. 

  10. use Psr\Http\Message\ServerRequestInterface;
    11. 

  11. 

  12. class JwtAuthMiddleware
    13. 

  13. {
    14. 

  14.     private string $jwtSecret;
    15. 

  15. 

  16.     public function __construct()
    17. 

  17.     {
    18. 

  18.         // Sem fallback: a chave precisa estar configurada no ambiente.
    19. 

  19.         $this->jwtSecret = $_ENV['JWT_SECRET'] ?? '';
    20. 

  20.     }
    21. 

  21. 

  22.     public function __invoke(ServerRequestInterface $request, callable $next)
    23. 

  23.     {
    24. 

  24.         if ($this->jwtSecret === '') {
    25. 

  25.             // Configuração ausente é erro de servidor, não de autenticação.
    26. 

  26.             Logger::error('JWT_SECRET is not configured; rejecting authenticated request');
    27. 

  27.             return Payload::fail('Internal server error', [], 'E_GENERIC', 500);
    28. 

  28.         }
    29. 

  29. 

  30.         $authHeader = $request->getHeaderLine('Authorization');
    31. 

  31.         if (empty($authHeader) || !preg_match('/Bearer\s+(.*)/', $authHeader, $matches)) {
    32. 

  32.             return Payload::fail('Unauthorized', [], 'E_VALIDATE', 401);
    33. 

  33.         }
    34. 

  34. 

  35.         $token = $matches[1];
    36. 

  36. 

  37.         try {
    38. 

  38.             $decoded = JWT::decode($token, new Key($this->jwtSecret, 'HS256'));
    39. 

  39.             $userId = $decoded->sub ?? null;
    40. 

  40.             $userEmail = $decoded->email ?? $decoded->username ?? null;
    41. 

  41. 

  42.             if (empty($userId) || empty($userEmail)) {
    43. 

  43.                 return Payload::fail('Unauthorized', [], 'E_VALIDATE', 401);
    44. 

  44.             }
    45. 

  45. 

  46.             $pdo = Database::pdo();
    47. 

  47. 

  48.             // O papel (role) é lido do banco — fonte autoritativa — e não do JWT.
    49. 

  49.             // Assim, alterar/revogar o papel de um usuário tem efeito imediato,
    50. 

  50.             // mesmo que ele ainda possua um token antigo válido.
    51. 

  51.             $stmt = $pdo->prepare("SELECT user_id, user_email, user_role FROM \"user\" WHERE user_id = :user_id AND user_email = :user_email AND user_deleted_at = 'infinity'");
    52. 

  52.             $stmt->execute(['user_id' => $userId, 'user_email' => mb_strtolower(trim($userEmail))]);
    53. 

  53.             $user = $stmt->fetch(\PDO::FETCH_ASSOC);
    54. 

  54. 

  55.             if (!$user) {
    56. 

  56.                 return Payload::fail('Unauthorized', [], 'E_VALIDATE', 401);
    57. 

  57.             }
    58. 

  58. 

  59.             $request = $request
    60. 

  60.                 ->withAttribute('api_user', $user['user_email'])
    61. 

  61.                 ->withAttribute('api_user_id', $user['user_id'])
    62. 

  62.                 ->withAttribute('user_email', $user['user_email'])
    63. 

  63.                 ->withAttribute('user_id', $user['user_id'])
    64. 

  64.                 ->withAttribute('user_role', $user['user_role']);
    65. 

  65. 

  66.             return $next($request);
    67. 

  67. 

  68.         } catch (\Exception $e) {
    69. 

  69.             // Detalhe do erro vai só para o log; cliente recebe mensagem genérica.
    70. 

  70.             Logger::warning('JWT authentication failed', ['error' => $e->getMessage()]);
    71. 

  71.             return Payload::fail('Unauthorized', [], 'E_VALIDATE', 401);
    72. 

  72.         }
    73. 

  73.     }
    74. 

  74. }
    75.