2d607d9e90
- Changed OTP storage in Admin/auth/login.php from plaintext to sha256 hash - Updated Admin/auth/verify_login.php to hash user input before comparison - Replaced hardcoded /home/siro-api/ paths with environment variables: - ERROR_LOG_PATH, ENV_FILE_PATH, SECRET_KEY_PAY_PATH, SECRET_KEY_PATH - Falls back to __DIR__-relative paths when env vars are unset
95 lines
3.1 KiB
PHP
95 lines
3.1 KiB
PHP
<?php
|
|
/**
|
|
* Admin/auth/loginWallet.php
|
|
* توليد توكن خاص بسيرفر المحفظة (Wallet SSO)
|
|
* يتم توقيعه بالمفتاح المشترك (SECRET_KEY_PAY)
|
|
*/
|
|
declare(strict_types=1);
|
|
|
|
require_once __DIR__ . '/../../core/bootstrap.php';
|
|
|
|
use Firebase\JWT\JWT;
|
|
|
|
// التحقق من الجلسة الحالية للأدمن
|
|
$jwtService = new JwtService($redis ?? null);
|
|
$admin = $jwtService->authenticate();
|
|
|
|
error_log("[Wallet_SSO] Authenticated Admin ID: " . ($admin->user_id ?? 'N/A') . " | Role: " . ($admin->role ?? 'N/A'));
|
|
|
|
if ($admin->role !== 'admin' && $admin->role !== 'super_admin') {
|
|
jsonError("Unauthorized. Admin access required.");
|
|
exit;
|
|
}
|
|
|
|
try {
|
|
// جلب المفتاح المشترك لسيرفر المحفظة من متغير البيئة أو الملف
|
|
$payKeyPath = getenv('SECRET_KEY_PAY_PATH');
|
|
$payKey = ($payKeyPath && file_exists($payKeyPath)) ? trim(file_get_contents($payKeyPath)) : getenv('SECRET_KEY_PAY');
|
|
|
|
if (empty($payKey)) {
|
|
$fallbackPath = getenv('SECRET_KEY_PATH');
|
|
$payKey = ($fallbackPath && file_exists($fallbackPath)) ? trim(file_get_contents($fallbackPath)) : null;
|
|
}
|
|
|
|
if (empty($payKey)) {
|
|
jsonError("Internal configuration error: Shared secret key missing.");
|
|
exit;
|
|
}
|
|
|
|
$issuer = 'Tripz-Wallet';
|
|
$audience = 'Tripz-Wallet';
|
|
$hmacSecret = getenv('SECRET_KEY_HMAC') ?: '';
|
|
|
|
$ttl = 600; // 10 دقائق
|
|
$iat = time();
|
|
$exp = $iat + $ttl;
|
|
$jti = bin2hex(random_bytes(16));
|
|
|
|
// محتوى التوكن (Payload)
|
|
$payload = [
|
|
'iss' => $issuer,
|
|
'aud' => $audience,
|
|
'user_id' => $admin->user_id,
|
|
'role' => 'admin', // نرسل 'admin' للمحفظة لضمان التوافق مع برمجياتها القديمة
|
|
'iat' => $iat,
|
|
'exp' => $exp,
|
|
'jti' => $jti
|
|
];
|
|
|
|
// إلغاء التوكن القديم إذا وجد في Redis
|
|
if ($redis) {
|
|
$oldJtiKey = "wallet_jti:" . $admin->user_id;
|
|
$oldJti = $redis->get($oldJtiKey);
|
|
if ($oldJti) {
|
|
// إضافة التوكن القديم للقائمة السوداء
|
|
$redis->setex("jwt:blacklist:$oldJti", $ttl + 60, '1');
|
|
}
|
|
// تخزين الـ JTI الجديد
|
|
$redis->setex($oldJtiKey, $ttl, $jti);
|
|
}
|
|
|
|
// إضافة بصمة الجهاز للتوكن لزيادة الأمان
|
|
$fpHeader = $_SERVER['HTTP_X_DEVICE_FP'] ?? null;
|
|
$fpPepper = getenv('FP_PEPPER');
|
|
if ($fpHeader && $fpPepper) {
|
|
$payload['fingerPrint'] = hash('sha256', $fpHeader . $fpPepper);
|
|
}
|
|
|
|
// توليد التوكن
|
|
$jwt = JWT::encode($payload, $payKey, 'HS256');
|
|
|
|
// حساب الـ HMAC Hash المطلوب لسيرفر المحفظة
|
|
$hmacHash = hash_hmac('sha256', (string)$admin->user_id, $hmacSecret);
|
|
|
|
printSuccess([
|
|
"status" => "success",
|
|
"jwt" => $jwt,
|
|
"hmac" => $hmacHash,
|
|
"expires_in" => $ttl
|
|
]);
|
|
|
|
} catch (Exception $e) {
|
|
error_log("[Admin Wallet SSO Error] " . $e->getMessage());
|
|
jsonError("An internal error occurred. Please try again later.");
|
|
}
|