MessageSecurityAuthorizationSAMLPolicy.java

  1. /*
  2.  * GovWay - A customizable API Gateway 
  3.  * https://govway.org
  4.  * 
  5.  * Copyright (c) 2005-2025 Link.it srl (https://link.it). 
  6.  * 
  7.  * This program is free software: you can redistribute it and/or modify
  8.  * it under the terms of the GNU General Public License version 3, as published by
  9.  * the Free Software Foundation.
  10.  *
  11.  * This program is distributed in the hope that it will be useful,
  12.  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  13.  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14.  * GNU General Public License for more details.
  15.  *
  16.  * You should have received a copy of the GNU General Public License
  17.  * along with this program.  If not, see <http://www.gnu.org/licenses/>.
  18.  *
  19.  */



  23. package org.openspcoop2.security.message.authorization;

  25. import java.io.File;
  26. import java.net.URI;
  27. import java.net.URL;
  28. import java.util.ArrayList;
  29. import java.util.HashMap;
  30. import java.util.List;
  31. import java.util.Map;

  33. import javax.xml.soap.SOAPElement;
  34. import javax.xml.soap.SOAPException;

  36. import org.apache.wss4j.common.saml.builder.SAML2Constants;
  37. import org.herasaf.xacml.core.context.impl.DecisionType;
  38. import org.herasaf.xacml.core.context.impl.ResultType;
  39. import org.openspcoop2.core.id.IDServizio;
  40. import org.openspcoop2.core.registry.AccordoServizioParteSpecifica;
  41. import org.openspcoop2.core.registry.Documento;
  42. import org.openspcoop2.core.registry.constants.TipiDocumentoSicurezza;
  43. import org.openspcoop2.core.registry.driver.IDServizioFactory;
  44. import org.openspcoop2.message.OpenSPCoop2Message;
  45. import org.openspcoop2.message.OpenSPCoop2SoapMessage;
  46. import org.openspcoop2.message.constants.MessageType;
  47. import org.openspcoop2.message.soap.WSSecurityUtils;
  48. import org.openspcoop2.message.xml.MessageDynamicNamespaceContextFactory;
  49. import org.openspcoop2.message.xml.XPathExpressionEngine;
  50. import org.openspcoop2.protocol.registry.RegistroServiziManager;
  51. import org.openspcoop2.protocol.sdk.Busta;
  52. import org.openspcoop2.security.message.constants.SecurityConstants;
  53. import org.openspcoop2.security.message.saml.SAMLConstants;
  54. import org.openspcoop2.utils.resources.FileSystemUtilities;
  55. import org.openspcoop2.utils.transport.http.HttpConstants;
  56. import org.openspcoop2.utils.transport.http.HttpRequest;
  57. import org.openspcoop2.utils.transport.http.HttpRequestMethod;
  58. import org.openspcoop2.utils.transport.http.HttpResponse;
  59. import org.openspcoop2.utils.transport.http.HttpUtilities;
  60. import org.openspcoop2.utils.xacml.CachedMapBasedSimplePolicyRepository;
  61. import org.openspcoop2.utils.xacml.MarshallUtilities;
  62. import org.openspcoop2.utils.xacml.PolicyDecisionPoint;
  63. import org.openspcoop2.utils.xacml.PolicyException;
  64. import org.openspcoop2.utils.xacml.ResultCombining;
  65. import org.openspcoop2.utils.xacml.ResultUtilities;
  66. import org.openspcoop2.utils.xacml.XacmlRequest;
  67. import org.openspcoop2.utils.xml.AbstractXPathExpressionEngine;
  68. import org.openspcoop2.utils.xml.DynamicNamespaceContext;
  69. import org.openspcoop2.utils.xml.XPathException;
  70. import org.openspcoop2.utils.xml.XPathNotFoundException;
  71. import org.openspcoop2.utils.xml.XPathNotValidException;
  72. import org.openspcoop2.utils.xml.XPathReturnType;
  73. import org.slf4j.Logger;
  74. import org.w3c.dom.Node;
  75. import org.w3c.dom.NodeList;
  76. import org.xml.sax.SAXException;


  79. /**
  80.  * Implementazione dell'interfaccia Authorization basata su token SAML
  81.  *
  82.  * @author Bussu Giovanni (bussu@link.it)
  83.  * @author $Author$
  84.  * @version $Rev$, $Date$
  85.  */

  87. public class MessageSecurityAuthorizationSAMLPolicy  implements IMessageSecurityAuthorization{

  89.     public static final String SAML_20_ISSUER = "urn:oasis:names:tc:SAML:2.0:assertion:Issuer";
  90.     public static final String SAML_20_SUBJECT_NAME = "urn:oasis:names:tc:SAML:2.0:assertion:Subject:NameID";
  91.     public static final String SAML_20_ATTRIBUTE_NAME = "urn:oasis:names:tc:SAML:2.0:assertion:AttributeStatement:Attribute:Name:";
  92.     
  93.     public static final String SAML_11_ISSUER = "urn:oasis:names:tc:SAML:2.0:assertion:Issuer";
  94.     public static final String SAML_11_AUTHENTICATION_SUBJECT_NAME = "urn:oasis:names:tc:SAML:1.0:assertion:AuthenticationStatement:Subject:NameIdentifier";
  95.     public static final String SAML_11_AUTHORIZATION_SUBJECT_NAME = "urn:oasis:names:tc:SAML:1.0:assertion:AttributeStatement:Subject:NameIdentifier";
  96.     public static final String SAML_11_ATTRIBUTE_NAME = "urn:oasis:names:tc:SAML:1.0:assertion:AttributeStatement:Attribute:Name:";
  97.     
  98.     

  100.     private static PolicyDecisionPoint pdp;
  101.     private static synchronized void initPdD(Logger log) throws PolicyException{
  102.         if(MessageSecurityAuthorizationSAMLPolicy.pdp == null) {
  103.             MessageSecurityAuthorizationSAMLPolicy.pdp = new PolicyDecisionPoint(log);
  104.         }
  105.     }
  106.     
  107.     
  108.     
  109.     
  110.     public MessageSecurityAuthorizationSAMLPolicy()  {
  111.         PolicyDecisionPoint.runInitializers(); //necessario per far inizializzare gli unmarshaller in caso di pdp remoto
  112.     }


  115.     @Override
  116.     public MessageSecurityAuthorizationResult authorize(MessageSecurityAuthorizationRequest request) throws SecurityException{

  118.         String principalWSS = request.getSecurityPrincipal();
  119.         Busta busta = request.getBusta();
  120.         org.openspcoop2.security.message.MessageSecurityContext messageSecurityContext = request.getMessageSecurityContext();
  121.         OpenSPCoop2Message msg = request.getMessage();
  122.         

  124.         IDServizio idServizio = null;
  125.         try {
  126.             idServizio = IDServizioFactory.getInstance().getIDServizioFromValues(busta.getTipoServizio(), busta.getServizio(), 
  127.                     busta.getTipoDestinatario(), busta.getDestinatario(), busta.getVersioneServizio());
  128.         
  129.             OpenSPCoop2SoapMessage soapMessage = msg.castAsSoap();
  130.             
  131.             // ****** Proprieta' WSSecurity ********
  132.             
  133.             String actor = messageSecurityContext.getActor();
  134.             if("".equals(messageSecurityContext.getActor()))
  135.                 actor = null;
  136.             
  137.             String pdpLocalString = (String) messageSecurityContext.getIncomingProperties().get(SecurityConstants.AUTH_PDP_LOCAL);
  138.             boolean pdpLocal = true;
  139.             if(pdpLocalString==null || "".equals(pdpLocalString.trim())){
  140.                 pdpLocal = true;
  141.             }
  142.             else if("true".equalsIgnoreCase(pdpLocalString.trim())){
  143.                 pdpLocal = true;
  144.             }
  145.             else if("false".equalsIgnoreCase(pdpLocalString.trim())){
  146.                 pdpLocal = false;
  147.             }
  148.             else{
  149.                 throw new SecurityException("Property '"+SecurityConstants.AUTH_PDP_LOCAL+"' with wrong value ["+pdpLocalString.trim()+"]");
  150.             }
  151.             
  152.             String remotePdD_url = null;
  153.             Integer remotePdD_connectionTimeout = HttpUtilities.HTTP_CONNECTION_TIMEOUT;
  154.             Integer remotePdD_readConnectionTimeout = HttpUtilities.HTTP_READ_CONNECTION_TIMEOUT;
  155.             if(!pdpLocal){
  156.                 remotePdD_url = (String) messageSecurityContext.getIncomingProperties().get(SecurityConstants.AUTH_PDP_REMOTE_URL);
  157.                 if(pdpLocalString==null || "".equals(pdpLocalString.trim())){
  158.                     throw new SecurityException("Property '"+SecurityConstants.AUTH_PDP_REMOTE_URL+"' not found (required with "+SecurityConstants.AUTH_PDP_LOCAL+"=false)");
  159.                 }
  160.                 pdpLocalString = pdpLocalString.trim();
  161.                 try{
  162.                     (new URI(remotePdD_url)).toString();
  163.                 }catch(Exception e){
  164.                     throw new SecurityException("Property '"+SecurityConstants.AUTH_PDP_REMOTE_URL+"' with wrong value ["+remotePdD_url+"]: "+e.getMessage(),e);
  165.                 }
  166.                 
  167.                 String tmp = (String) messageSecurityContext.getIncomingProperties().get(SecurityConstants.AUTH_PDP_REMOTE_CONNECTION_TIMEOUT);
  168.                 if(tmp!=null && !"".equals(tmp)){
  169.                     tmp = tmp.trim();
  170.                     try{
  171.                         remotePdD_connectionTimeout = Integer.parseInt(tmp);
  172.                     }catch(Exception e){
  173.                         throw new SecurityException("Property '"+SecurityConstants.AUTH_PDP_REMOTE_CONNECTION_TIMEOUT+"' with wrong value ["+tmp+"]: "+e.getMessage(),e);
  174.                     }
  175.                 }
  176.                 
  177.                 tmp = (String) messageSecurityContext.getIncomingProperties().get(SecurityConstants.AUTH_PDP_REMOTE_READ_CONNECTION_TIMEOUT);
  178.                 if(tmp!=null && !"".equals(tmp)){
  179.                     tmp = tmp.trim();
  180.                     try{
  181.                         remotePdD_readConnectionTimeout = Integer.parseInt(tmp);
  182.                     }catch(Exception e){
  183.                         throw new SecurityException("Property '"+SecurityConstants.AUTH_PDP_REMOTE_READ_CONNECTION_TIMEOUT+"' with wrong value ["+tmp+"]: "+e.getMessage(),e);
  184.                     }
  185.                 }
  186.             }
  187.             
  188.             
  189.             
  190.             
  191.             
  192.             // ****** Raccolta Dati ********
  193.             
  194.             String tipoSoggettoErogatore = busta.getTipoDestinatario();
  195.             String nomeSoggettoErogatore = busta.getDestinatario();
  196.             String tipoServizio = busta.getTipoServizio();
  197.             String nomeServizio = busta.getServizio();
  198.             String azione = busta.getAzione() != null ? busta.getAzione() : "";
  199.     
  200.             String servizioKey = "http://"+tipoSoggettoErogatore+nomeSoggettoErogatore+".openspcoop2.org/servizi/"+tipoServizio+nomeServizio;
  201.             String azioneKey = servizioKey+"/" + azione;
  202.             
  203.             if(pdpLocal){
  204.                 
  205.                 byte[] policy = null; 
  206.                 try{
  207.                     AccordoServizioParteSpecifica asps = RegistroServiziManager.getInstance().getAccordoServizioParteSpecifica(idServizio, null, true, null); // non serve requestInfo tanto ho necessita degli allegati
  208.                     for (int i = 0; i < asps.sizeSpecificaSicurezzaList(); i++) {
  209.                         Documento d = asps.getSpecificaSicurezza(i);
  210.                         if(TipiDocumentoSicurezza.XACML_POLICY.getNome().equals(d.getTipo())){
  211.                             if(policy == null){
  212.                                 if(d.getByteContenuto()!=null){
  213.                                     policy = d.getByteContenuto();  
  214.                                 }
  215.                                 else if(d.getFile()!=null){
  216.                                     if(d.getFile().startsWith("http://") || d.getFile().startsWith("file://")){
  217.                                         URL url = new URL(d.getFile());
  218.                                         policy = HttpUtilities.requestHTTPFile(url.toString());
  219.                                     }
  220.                                     else{
  221.                                         File f = new File(d.getFile());
  222.                                         policy = FileSystemUtilities.readBytesFromFile(f);
  223.                                     }
  224.                                 }
  225.                             }else
  226.                                 throw new SecurityException("Piu di una xacml policy trovata trovata per il servizio "+idServizio.toString());
  227.                         }
  228.                     }
  229.                 }catch(Exception e){
  230.                     throw new SecurityException("Errore durante la ricerca delle policies xacml per il servizio "+idServizio.toString()+": "+e.getMessage(),e);
  231.                 }
  232.                 if(policy== null){
  233.                     throw new SecurityException("Nessuna xacml policy trovata per il servizio "+idServizio.toString());
  234.                 }
  235.                 
  236.                 if(MessageSecurityAuthorizationSAMLPolicy.pdp == null) {
  237.                     MessageSecurityAuthorizationSAMLPolicy.initPdD(messageSecurityContext.getLog());
  238.                 }
  239.                 
  240.                 // Caricamento in PdP vedendo che la policy non sia gia stata caricata ....
  241.                 MessageSecurityAuthorizationSAMLPolicy.pdp.addPolicy(MarshallUtilities.unmarshallPolicy(policy), servizioKey);
  242.             }
  243.             
  244.             
  245.             
  246.             
  247.             // ****** Header WSSecurity con SAML ********
  248.             
  249.             SOAPElement security = null;
  250.             try{
  251.                 security = (SOAPElement) WSSecurityUtils.getSecurityHeader(soapMessage.getSOAPPart(), soapMessage.getMessageType(), actor, true);
  252.             }catch(Exception e){
  253.                 throw new SecurityException("Errore durante la ricerca dell'header WSSecurity (actor:"+actor+") "+e.getMessage(),e);
  254.             }
  255.             if(security==null){
  256.                 throw new SecurityException("Header WSSecurity (actor:"+actor+") contenente una SAML non trovato");
  257.             }
  258.             
  259.             DynamicNamespaceContext dnc = null;
  260.             if(MessageType.SOAP_11.equals(soapMessage.getMessageType())) {
  261.                 dnc = MessageDynamicNamespaceContextFactory.getInstance(soapMessage.getFactory()).getNamespaceContextFromSoapEnvelope11(soapMessage.getSOAPPart().getEnvelope());
  262.             } else {
  263.                 dnc = MessageDynamicNamespaceContextFactory.getInstance(soapMessage.getFactory()).getNamespaceContextFromSoapEnvelope12(soapMessage.getSOAPPart().getEnvelope());
  264.             }
  265.             
  266.             AbstractXPathExpressionEngine xpathExpressionEngine = new XPathExpressionEngine(soapMessage.getFactory());
  267.                         
  268.             boolean SAML_2_0 = false;
  269.             try {
  270.                 Object o = xpathExpressionEngine.getMatchPattern(security, dnc, SAMLConstants.XPATH_SAML_20_ASSERTION, XPathReturnType.NODE);
  271.                 SAML_2_0 = (o!=null);
  272.             } catch(XPathNotFoundException e) {
  273.                 SAML_2_0 = false;
  274.             }

  276.             
  277.             
  278.             
  279.             
  280.             // ****** Produzione XACMLRequest a partire dalla SAML ********
  281.         
  282.             XacmlRequest xacmlRequest = new XacmlRequest();
  283.             
  284.         
  285.             // ** action **
  286.             xacmlRequest.addAction(azioneKey);
  287.     
  288.             
  289.             // ** subject **
  290.             // Creare un Subject che contiene nel subject id:
  291.             // come urn:oasis:names:tc:xacml:1.0:subject:subject-id il valore del principal presente nella richiesta (principalWSS)
  292.             if(principalWSS != null) {
  293.                 xacmlRequest.addSubjectAttribute("urn:oasis:names:tc:xacml:1.0:subject:subject-id", principalWSS);
  294.             }
  295.             
  296.             // inoltre creare altri attribute del subject che contengano:
  297.             SAMLAttributes saml = new SAMLAttributes(security, dnc, SAML_2_0, xpathExpressionEngine);

  299.             // il valore del NameID all'interno dell'elemento Subject 
  300.             if(SAML_2_0){
  301.                 if(saml.nameIDAuthorization!=null){
  302.                     xacmlRequest.addSubjectAttribute(SAML_20_SUBJECT_NAME, saml.nameIDAuthorization);
  303.                 }
  304.             }
  305.             else{
  306.                 if(saml.nameIDAuthorization!=null){
  307.                     xacmlRequest.addSubjectAttribute(SAML_11_AUTHORIZATION_SUBJECT_NAME, saml.nameIDAuthorization);
  308.                 }
  309.                 if(saml.nameIDAuthentication!=null){
  310.                     xacmlRequest.addSubjectAttribute(SAML_11_AUTHENTICATION_SUBJECT_NAME, saml.nameIDAuthentication);
  311.                 }
  312.             }
  313.     
  314.             // il valore dell'elemento Issuer
  315.             if(SAML_2_0){
  316.                 xacmlRequest.addSubjectAttribute(SAML_20_ISSUER, saml.issuer);
  317.             }
  318.             else{
  319.                 xacmlRequest.addSubjectAttribute(SAML_11_ISSUER, saml.issuer);
  320.             }
  321.             
  322.             // - AttributeId="urn:oasis:names:tc:SAML:XX:assertion/AttributeStatement/Attribute/Name/<Nome> se il NameFormat non è una uri altrimenti direttamente il nome come attribute Id
  323.             for(String keyAttribute: saml.customAttributes.keySet()) {
  324.                 xacmlRequest.addSubjectAttribute(keyAttribute, saml.customAttributes.get(keyAttribute));
  325.             }
  326.     
  327.             
  328.             // ** environment **
  329.             
  330.             xacmlRequest.createEnvironment();
  331.     
  332.             
  333.             
  334.             
  335.             // ****** Valutazione XACMLRequest con PdD ********
  336.             
  337.             List<ResultType> results = null;
  338.             if(pdpLocal){
  339.                 try {
  340.                     
  341.                     //solo in caso di pdp locale inizializzo la resource __resource_id___ con il nome del servizio in modo da consentire l'identificazione della policy
  342.                     
  343.                     xacmlRequest.addResourceAttribute(CachedMapBasedSimplePolicyRepository.RESOURCE_ATTRIBUTE_ID_TO_MATCH, servizioKey);
  344.                             
  345.                     messageSecurityContext.getLog().debug("----XACML Request locale begin ---");
  346.                     messageSecurityContext.getLog().debug(new String(MarshallUtilities.marshallRequest(xacmlRequest)));
  347.                     messageSecurityContext.getLog().debug("----XACML Request locale end ---");
  348.                     
  349.                     results = MessageSecurityAuthorizationSAMLPolicy.pdp.evaluate(xacmlRequest);
  350.                     messageSecurityContext.getLog().debug("----XACML Results begin ---");
  351.                     for(ResultType result: results) {
  352.                         messageSecurityContext.getLog().debug("Decision: "+result.getDecision().toString());
  353.                     }
  354.                     messageSecurityContext.getLog().debug("----XACML Results end ---");

  356.                 } catch(Exception e) {
  357.                     throw new SecurityException("Errore avvenuto durante l'interrogazione del PdP locale per l'autorizzazione del servizio "+idServizio.toString()+": "+e.getMessage(),e);
  358.                 }
  359.             }
  360.             else{
  361.                 try{
  362.                     xacmlRequest.createResource();
  363.                     
  364.                     byte[] xacmlBytes = MarshallUtilities.marshallRequest(xacmlRequest);
  365.                     messageSecurityContext.getLog().debug("----XACML Request remota begin ---");
  366.                     messageSecurityContext.getLog().debug(new String(xacmlBytes));
  367.                     messageSecurityContext.getLog().debug("----XACML Request remota end ---");

  369.                     HttpRequest httpRequest = new HttpRequest();
  370.                     httpRequest.setUrl(remotePdD_url);
  371.                     httpRequest.setContent(xacmlBytes);
  372.                     httpRequest.setMethod(HttpRequestMethod.POST);
  373.                     httpRequest.setContentType(HttpConstants.CONTENT_TYPE_TEXT_XML);
  374.                     httpRequest.setReadTimeout(remotePdD_readConnectionTimeout);
  375.                     httpRequest.setConnectTimeout(remotePdD_connectionTimeout);
  376.                     HttpResponse httpResponse = HttpUtilities.httpInvoke(httpRequest);
  377.                     if(httpResponse.getResultHTTPOperation()==200){
  378.                         byte[] res = httpResponse.getContent();
  379.                         results = MarshallUtilities.unmarshallResult(res);
  380.                     }
  381.                     else{
  382.                         throw new Exception("invocazione fallita (http-return-code: "+httpResponse.getResultHTTPOperation()+")");
  383.                     }
  384.                 }catch(Exception e){
  385.                     throw new SecurityException("Errore avvenuto durante l'interrogazione del PdP remoto ["+remotePdD_url+"] per l'autorizzazione del servizio "+idServizio.toString()+": "+e.getMessage(),e);
  386.                 }
  387.             }
  388.             
  389.             DecisionType decision = ResultCombining.combineDenyOverrides(results);
  390.     
  391.             MessageSecurityAuthorizationResult result = new MessageSecurityAuthorizationResult();
  392.     
  393.             if(DecisionType.PERMIT.equals(decision)) {
  394.                 result.setAuthorized(true);
  395.                 result.setErrorMessage(null);
  396.             } else {
  397.                 
  398.                 String url = "";
  399.                 String tipo = "XACML-Policy";
  400.                 if(!pdpLocal){
  401.                     url = " url["+remotePdD_url+"]";
  402.                     tipo = "XACML-Policy-RemotePdp";
  403.                 }
  404.                 try{
  405.                     String resultAsString = ResultUtilities.toRawString(results);
  406.                     messageSecurityContext.getLog().error("Autorizzazione con XACMLPolicy fallita pddLocal["+pdpLocal+"]"+url+"; results (size:"+results.size()+"): \n"+resultAsString);
  407.                 }catch(Throwable e){
  408.                     messageSecurityContext.getLog().error("Autorizzazione con XACMLPolicy fallita pddLocal["+pdpLocal+"]"+url+". Serializzazione risposta non riuscita",e);
  409.                 }
  410.                 
  411.                 result.setAuthorized(false);
  412.                     
  413.                 String resultAsString = ResultUtilities.toString(results, decision);
  414.                 if(resultAsString!=null && resultAsString.length()>0){
  415.                     result.setErrorMessage(tipo+" "+resultAsString);
  416.                 }
  417.                 else{
  418.                     result.setErrorMessage(tipo);
  419.                 }
  420.             }
  421.             return result;
  422.             
  423.         } catch(SecurityException e) {
  424.             messageSecurityContext.getLog().error("Errore di sicurezza durante la gestione della richiesta per il servizio: " + idServizio, e);
  425.             throw e;
  426.         } catch(Exception e) {
  427.             messageSecurityContext.getLog().error("Errore generico durante la gestione della richiesta per il servizio: " + idServizio, e);
  428.             throw new SecurityException(e);
  429.         }
  430.     }

  432.  
  433.     
  434.     private class SAMLAttributes {
  435.         public String nameIDAuthentication;
  436.         public String nameIDAuthorization;
  437.         public String issuer;
  438.         public Map<String, List<String>> customAttributes;
  439.         
  440.         private DynamicNamespaceContext dnc;
  441.         private boolean saml20;
  442.         private AbstractXPathExpressionEngine xpathExpressionEngine;
  443.         
  444.         public SAMLAttributes(SOAPElement security, DynamicNamespaceContext dnc, boolean saml20, AbstractXPathExpressionEngine xpathExpressionEngine) throws Exception {
  445.             this.dnc = dnc;
  446.             this.saml20 = saml20;
  447.             this.xpathExpressionEngine = xpathExpressionEngine;
  448.             if(this.saml20){
  449.                 this.nameIDAuthorization = find(security, SAMLConstants.XPATH_SAML_20_ASSERTION_SUBJECT_NAMEID,false);
  450.                 this.issuer = find(security,  SAMLConstants.XPATH_SAML_20_ASSERTION_ISSUER,true);
  451.             }
  452.             else{
  453.                 this.nameIDAuthorization = find(security, SAMLConstants.XPATH_SAML_11_ASSERTION_ATTRIBUTESTATEMENT_SUBJECT_NAMEID,false);
  454.                 this.nameIDAuthentication = find(security, SAMLConstants.XPATH_SAML_11_ASSERTION_AUTHENTICATIONSTATEMENT_SUBJECT_NAMEID,false);
  455.                 this.issuer = find(security,  SAMLConstants.XPATH_SAML_11_ASSERTION_ISSUER,true);
  456.             }
  457.             this.customAttributes = findNameAttributes(security);
  458.         }

  460.         private String find(SOAPElement security,String xpath, boolean required) throws SAXException, SOAPException,
  461.                 XPathException, XPathNotValidException, Exception {
  462.             
  463.             String match = null;
  464.             try {
  465.                 match = (String) this.xpathExpressionEngine.getMatchPattern(security, this.dnc, xpath, XPathReturnType.STRING);
  466.             } catch(XPathNotFoundException e) {
  467.                 if(required)
  468.                     throw new Exception(e.getMessage(),e);
  469.                 else
  470.                     return null;
  471.             }
  472.             return match;
  473.         }

  475.         private Map<String, List<String>> findNameAttributes(SOAPElement security) throws SAXException, SOAPException,
  476.                 XPathException, XPathNotValidException, Exception {
  477.             
  478.             Map<String, List<String>> nameAttributes = new HashMap<>();

  480.             String xpath = null;
  481.             if(this.saml20){
  482.                 xpath = SAMLConstants.XPATH_SAML_20_ASSERTION_ATTRIBUTESTATEMENT_ATTRIBUTE;
  483.             }
  484.             else{
  485.                 xpath = SAMLConstants.XPATH_SAML_11_ASSERTION_ATTRIBUTESTATEMENT_ATTRIBUTE;
  486.             }
  487.             try {
  488.                 NodeList attributes = (NodeList) this.xpathExpressionEngine.getMatchPattern(security, this.dnc, xpath, XPathReturnType.NODESET);
  489.                 if(attributes != null) {
  490.                     for(int i = 0; i < attributes.getLength(); i++) {
  491.                         org.w3c.dom.Node attribute = attributes.item(i);
  492.                         String name = null;
  493.                         String friendlyName = null;
  494.                         boolean uriNameFormat = false;
  495.                         if(this.saml20){
  496.                             Node nameAttribute = attribute.getAttributes().getNamedItem("Name");
  497.                             name = nameAttribute.getNodeValue();
  498.                             Node friendlyNameAttribute = attribute.getAttributes().getNamedItem("FriendlyName");
  499.                             if(friendlyNameAttribute!=null){
  500.                                 friendlyName = friendlyNameAttribute.getNodeValue();
  501.                             }
  502.                             Node nameFormatAttribute = attribute.getAttributes().getNamedItem("NameFormat");
  503.                             if(nameFormatAttribute!=null){
  504.                                 uriNameFormat = SAML2Constants.ATTRNAME_FORMAT_URI.equals(nameFormatAttribute.getNodeValue());
  505.                             }   
  506.                         }
  507.                         else{
  508.                             Node nameAttribute = attribute.getAttributes().getNamedItem("AttributeNamespace");
  509.                             name = nameAttribute.getNodeValue();
  510.                             Node friendlyNameAttribute = attribute.getAttributes().getNamedItem("AttributeName");
  511.                             friendlyName = friendlyNameAttribute.getNodeValue(); // obbligatorio in saml11
  512.                         }
  513.                         if(uriNameFormat==false){
  514.                             if(friendlyName==null){
  515.                                 if(name.startsWith("urn:") || name.startsWith("url:") || name.startsWith("http:") || name.startsWith("htts:")){
  516.                                     uriNameFormat = true;
  517.                                 }
  518.                             }
  519.                         }

  521.                         String key = null;
  522.                         if(friendlyName != null) {
  523.                             if(this.saml20){
  524.                                 key = SAML_20_ATTRIBUTE_NAME + friendlyName;
  525.                             }
  526.                             else{
  527.                                 key = SAML_11_ATTRIBUTE_NAME + friendlyName;
  528.                             }
  529.                         } else {
  530.                             if(uriNameFormat) {
  531.                                 key = name;
  532.                             } else {
  533.                                 if(this.saml20){
  534.                                     key = SAML_20_ATTRIBUTE_NAME + name;
  535.                                 }
  536.                                 else{
  537.                                     key = SAML_11_ATTRIBUTE_NAME + name;
  538.                                 }
  539.                             }
  540.                         }

  542.                         String samlNamespace = null;
  543.                         if(this.saml20){
  544.                             samlNamespace = SAMLConstants.SAML_20_NAMESPACE;
  545.                         }else{
  546.                             samlNamespace = SAMLConstants.SAML_11_NAMESPACE;
  547.                         }
  548.                         
  549.                         List<String> values = null;
  550.                         if(nameAttributes.containsKey(key)) {
  551.                             values = nameAttributes.remove(key);
  552.                         } else {
  553.                             values = new ArrayList<>();
  554.                         }
  555.                         NodeList attributeValues = attribute.getChildNodes();
  556.                         if(attributeValues != null) {
  557.                             for(int j = 0; j < attributeValues.getLength(); j++) {
  558.                                 org.w3c.dom.Node attributeValue = attributeValues.item(j);
  559.                                 if(attributeValue != null && "AttributeValue".equals(attributeValue.getLocalName()) && 
  560.                                         samlNamespace.equals(attributeValue.getNamespaceURI())) {
  561.                                     values.add(attributeValue.getTextContent());
  562.                                 }
  563.                             }
  564.                         }
  565.                         nameAttributes.put(key, values);
  566.                     }
  567.                 }
  568.             } catch(XPathNotFoundException e) {
  569.                 throw new Exception("Impossibile trovare l'xPath ["+xpath+"]");
  570.             }
  571.             return nameAttributes;
  572.         }
  573.     }

  575.     
  576. }
Created with JaCoCo 0.8.8.202204050719