147 lines
6.7 KiB
PHP
147 lines
6.7 KiB
PHP
<?php
|
|
/**
|
|
* Admin/auth/login.php
|
|
* تسجيل دخول المشرفين باستخدام البصمة وكلمة المرور المشفرة
|
|
*/
|
|
require_once __DIR__ . '/../../core/bootstrap.php';
|
|
require_once __DIR__ . '/../../functions.php';
|
|
|
|
$fingerprint = filterRequest('fingerprint');
|
|
$password = filterRequest('password');
|
|
$phone = filterRequest('phone');
|
|
$audience = filterRequest('aud') ?? 'admin';
|
|
$isRenewal = filterRequest('is_renewal') === '1';
|
|
|
|
if (empty($fingerprint) || empty($password)) {
|
|
jsonError("Fingerprint and password are required.");
|
|
exit;
|
|
}
|
|
|
|
// Rate Limiting: 5 محاولات في الدقيقة لكل IP
|
|
$rateLimiter = new RateLimiter($redis);
|
|
$rateLimiter->enforce(RateLimiter::identifier(), 'login');
|
|
|
|
try {
|
|
$con = Database::get('main');
|
|
|
|
// البحث عن المشرف باستخدام بصمة الجهاز (Fingerprint Hash)
|
|
$fpHash = hash('sha256', $fingerprint);
|
|
$stmt = $con->prepare("SELECT * FROM adminUser WHERE fingerprint_hash = :fp LIMIT 1");
|
|
$stmt->execute([':fp' => $fpHash]);
|
|
$admin = $stmt->fetch(PDO::FETCH_ASSOC);
|
|
|
|
// إذا لم يتم العثور بالبصمة، وتم تمرير رقم الهاتف (تسجيل دخول لأول مرة أو جهاز جديد)
|
|
if (!$admin && !empty($phone)) {
|
|
$encPhoneInput = $encryptionHelper->encryptData($phone);
|
|
$stmtPhone = $con->prepare("SELECT * FROM adminUser WHERE phone = :phone LIMIT 1");
|
|
$stmtPhone->execute([':phone' => $encPhoneInput]);
|
|
$admin = $stmtPhone->fetch(PDO::FETCH_ASSOC);
|
|
|
|
// تأكيد كلمة المرور وتحديث بصمة الجهاز إذا تم إيجاد الحساب
|
|
if ($admin && password_verify($password, $admin['password'])) {
|
|
$encFpRaw = $encryptionHelper->encryptData($fingerprint);
|
|
$updateStmt = $con->prepare("UPDATE adminUser SET fingerprint = :fp_raw, fingerprint_hash = :fp WHERE id = :id");
|
|
$updateStmt->execute([
|
|
':fp_raw' => $encFpRaw,
|
|
':fp' => $fpHash,
|
|
':id' => $admin['id']
|
|
]);
|
|
$admin['fingerprint_hash'] = $fpHash; // Update locally
|
|
} else if ($admin) {
|
|
// Password incorrect, fail later.
|
|
}
|
|
}
|
|
|
|
if ($admin) {
|
|
// 1. التحقق من حالة الحساب
|
|
if ($admin['status'] === 'pending') {
|
|
jsonError("حسابك قيد المراجعة حالياً. يرجى الانتظار للموافقة.");
|
|
exit;
|
|
} elseif ($admin['status'] === 'suspended') {
|
|
jsonError("هذا الحساب معلق. يرجى التواصل مع المدير.");
|
|
exit;
|
|
} elseif ($admin['status'] === 'rejected') {
|
|
jsonError("تم رفض طلب الانضمام لهذا الحساب.");
|
|
exit;
|
|
}
|
|
|
|
// 2. التحقق من كلمة المرور
|
|
if (password_verify($password, $admin['password'])) {
|
|
|
|
// إذا كان هذا مجرد تجديد للتوكن (إعادة الدخول التلقائي من التطبيق)، فلا داعي لإرسال OTP
|
|
if ($isRenewal) {
|
|
$jwtService = new JwtService($redis);
|
|
$role = $admin['role'] ?? 'admin';
|
|
|
|
// إلغاء التوكن القديم إذا وجد في Redis
|
|
if ($redis) {
|
|
$oldJti = $redis->get("active_jti:" . $admin['id']);
|
|
if ($oldJti) {
|
|
$jwtService->revokeToken($oldJti, 3600);
|
|
}
|
|
}
|
|
|
|
$jwt = $jwtService->generateAccessToken($admin['id'], $role, $audience, $fingerprint);
|
|
|
|
// فك تشفير البيانات للعرض
|
|
$admin['name'] = $encryptionHelper->decryptData($admin['name']) ?: $admin['name'];
|
|
unset($admin['password']);
|
|
|
|
printSuccess([
|
|
"message" => "Login successful",
|
|
"admin" => $admin,
|
|
"jwt" => $jwt,
|
|
"expires_in" => 3600
|
|
]);
|
|
exit;
|
|
}
|
|
|
|
// 3. توليد رمز تحقق OTP (6 أرقام) وإرساله عبر WhatsApp
|
|
$otp = rand(100000, 999999);
|
|
$encryptedPhone = $admin['phone'] ?? '';
|
|
|
|
if (empty($encryptedPhone)) {
|
|
jsonError("رقم الهاتف غير مسجل لهذا الحساب. يرجى مراجعة الإدارة.");
|
|
exit;
|
|
}
|
|
|
|
// فك تشفير رقم الهاتف (مخزن مشفراً في قاعدة البيانات)
|
|
$phone = $encryptionHelper->decryptData($encryptedPhone);
|
|
if (!$phone || empty($phone)) {
|
|
// إذا فشل فك التشفير، قد يكون الرقم مخزناً بدون تشفير
|
|
$phone = $encryptedPhone;
|
|
}
|
|
|
|
$messageBody = "رمز التحقق الخاص بك للدخول إلى لوحة الإدارة هو: $otp";
|
|
$success = sendWhatsAppFromServer($phone, $messageBody);
|
|
|
|
if ($success) {
|
|
// حفظ الرمز مشفراً في قاعدة البيانات (وحفظ رقم الهاتف مشفراً أيضاً)
|
|
$encryptedOtp = $encryptionHelper->encryptData((string)$otp);
|
|
|
|
$stmt = $con->prepare("INSERT INTO token_verification_admin (phone_number, token, expiration_time)
|
|
VALUES (?, ?, DATE_ADD(NOW(), INTERVAL 10 MINUTE))
|
|
ON DUPLICATE KEY UPDATE token = VALUES(token), expiration_time = VALUES(expiration_time)");
|
|
$stmt->execute([$encryptedPhone, $encryptedOtp]);
|
|
|
|
// إخفاء جزء من الرقم في الاستجابة للأمان
|
|
$maskedPhone = substr($phone, 0, 4) . '****' . substr($phone, -3);
|
|
|
|
printSuccess([
|
|
"status" => "otp_required",
|
|
"message" => "تم إرسال رمز التحقق إلى WhatsApp الخاص بك.",
|
|
"phone" => $maskedPhone
|
|
]);
|
|
} else {
|
|
jsonError("فشل في إرسال رمز التحقق عبر WhatsApp.");
|
|
}
|
|
} else {
|
|
jsonError("كلمة المرور غير صحيحة.");
|
|
}
|
|
} else {
|
|
jsonError("الحساب أو الجهاز غير مسجل. يرجى إدخال رقم هاتفك وكلمة المرور إذا كان هذا أول تسجيل دخول لك.");
|
|
}
|
|
} catch (Exception $e) {
|
|
error_log("[Admin Login Error] " . $e->getMessage());
|
|
jsonError("خطأ في السيرفر: " . $e->getMessage());
|
|
} |