tohokuaikiのチラシの裏

技術的ネタとか。

SSOをLaravel+Saml2で行ったところプロキシを挟んだらログインできなくなった。

Laravel

プロキシだとhttpでアクセスするのでその周りだろうなってことで

このあたりでエラーが出ている。 vendor/aacotroneo/laravel-saml2/src/Aacotroneo/Saml2/Http/Controllers/Saml2Controller.php

<?php
    public function acs(Saml2Auth $saml2Auth, $idpName)
    {
        $errors = $saml2Auth->acs();

の所のエラーが

array(2) {
  ["error"]=>
  array(1) {
    [0]=>
    string(16) "invalid_response"
  }
  ["last_error_reason"]=>
  string(130) "The response was received at http://example.com/saml2/******/acs instead of https://example.com/saml2/******/acs"
}

という感じ。

たどっていって

vendor/aacotroneo/laravel-saml2/src/Aacotroneo/Saml2/Saml2Auth.php

<?php
    function acs()
    {

        /** @var $auth OneLogin_Saml2_Auth */
        $auth = $this->auth;

        $auth->processResponse();

        $errors = $auth->getErrors();

でエラーを拾っているので vendor/onelogin/php-saml/src/Saml2/Auth.php->processResponse()
vendor/onelogin/php-saml/src/Saml2/Response.php->isValid()
と進んでいくと、isValid()の

<?php
                $currentURL = Utils::getSelfRoutedURLNoQuery();
...zip...
                       $urlComparisonLength = $security['destinationStrictlyMatches'] ? strlen($destination) : strlen($currentURL);
                        if (strncmp($destination, $currentURL, $urlComparisonLength) !== 0) {
                            $currentURLNoRouted = Utils::getSelfURLNoQuery();
                            $urlComparisonLength = $security['destinationStrictlyMatches'] ? strlen($destination) : strlen($currentURLNoRouted);
                            if (strncmp($destination, $currentURLNoRouted, $urlComparisonLength) !== 0) {
                                throw new ValidationError(
                                    "The response was received at $currentURL instead of $destination",
                                    ValidationError::WRONG_DESTINATION
                                );
                            }
                        }

のところで、$currentURLが http://example.com/saml2//asc で、$destinationhttps://example.com/saml2//asc だから strncmp($destination, $currentURL, $urlComparisonLength) !== 0 ではないですよっていうエラー。

対処法を考えると

vendor/onelogin/php-saml/src/Saml2/Utils.php の所を読んでると、なんかやっぱりProxyを配慮してるっぽい。

<?php
    public static function getSelfProtocol()
    {
        $protocol = 'http';
        if (self::$_protocol) {
            $protocol = self::$_protocol;
        } elseif (self::getSelfPort() == 443) {
            $protocol = 'https';
        } elseif (self::getProxyVars() && isset($_SERVER['HTTP_X_FORWARDED_PROTO'])) {
            $protocol = $_SERVER['HTTP_X_FORWARDED_PROTO'];
        } elseif (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') {
            $protocol = 'https';
        }
        return $protocol;
    }

self::getProxyVars() がtrueで、$_SERVER['HTTP_X_FORWARDED_PROTO']が存在してればそれになるっぽい。

HTTP_X_FORWARDED_PROTOは当然存在してるので、じゃあ getProxyVars()はというと単純にreturn self::$_proxyVarsしてて、

<?php
    /**
     * @param bool $proxyVars Whether to use `X-Forwarded-*` headers to determine port/domain/protocol
     */
    public static function setProxyVars($proxyVars)
    {
        self::$_proxyVars = (bool)$proxyVars;
    }

なんだけど、当然これもX-Forwarded-ForとかX-Forwarded-Protoとか存在してるわけで…あれー。

なんかProviderまで遡りそう

vendor/aacotroneo/laravel-saml2/src/Aacotroneo/Saml2/Saml2ServiceProvider.php で OneLogin_Saml2_Utils::setProxyVars(true); しているところがあった。

<?php
        if (config('saml2_settings.proxyVars', false)) {
            OneLogin_Saml2_Utils::setProxyVars(true);
        }

おぉー。

ということで、 config/saml2_settings.php

   'proxyVars' => false,

をtrueにして完了