cadi/client/src/main/java/org/onap/aaf/cadi/client/AbsAuthentication.java

   1 /**
   2  * ============LICENSE_START====================================================
   3  * org.onap.aaf
   4  * ===========================================================================
   5  * Copyright (c) 2018 AT&T Intellectual Property. All rights reserved.
   6  * ===========================================================================
   7  * Licensed under the Apache License, Version 2.0 (the "License");
   8  * you may not use this file except in compliance with the License.
   9  * You may obtain a copy of the License at
  10  *
  11  *      http://www.apache.org/licenses/LICENSE-2.0
  12  *
  13  * Unless required by applicable law or agreed to in writing, software
  14  * distributed under the License is distributed on an "AS IS" BASIS,
  15  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  16  * See the License for the specific language governing permissions and
  17  * limitations under the License.
  18  * ============LICENSE_END====================================================
  19  *
  20  */
  21
  22 package org.onap.aaf.cadi.client;
  23
  24 import java.io.IOException;
  25
  26 import org.onap.aaf.cadi.SecuritySetter;
  27 import org.onap.aaf.cadi.Symm;
  28 import org.onap.aaf.cadi.config.SecurityInfoC;
  29
  30 /**
  31  * AbsAuthentication is a class representing how to Authenticate onto a Client.
  32  *
  33  * Methods of setting Authentication on a Client vary, so CLIENT is a Generic Type
  34  * This allows the ability to apply security onto Different Client Types, as they come
  35  * into vogue, or change over time.
  36  *
  37  * Password is encrypted at rest.
  38  *
  39  * @author Jonathan
  40  *
  41  * @param <CLIENT>
  42  */
  43 public abstract class AbsAuthentication<CLIENT> implements SecuritySetter<CLIENT> {
  44     // HTTP Header for Authentication is "Authorization".  This was from an early stage of internet where
  45     // Access by Credential "Authorized" you for everything on the site.  Since those early days, it became
  46     // clear that "full access" wasn't appropriate, so the split between Authentication and Authorization
  47     // came into being... But the Header remains.
  48     public static final String AUTHORIZATION = "Authorization";
  49     private static final Symm symm;
  50
  51     protected static final String REPEAT_OFFENDER = "This call is aborted because of repeated usage of invalid Passwords";
  52     private static final int MAX_TEMP_COUNT = 10;
  53     private static final int MAX_SPAM_COUNT = 10000;
  54     private static final long WAIT_TIME = 1000*60*4L;
  55     private final byte[] headValue;
  56     private String user;
  57     protected final SecurityInfoC<CLIENT> securityInfo;
  58     protected long lastMiss;
  59     protected int count;
  60
  61     static {
  62         try {
  63             symm = Symm.encrypt.obtain();
  64         } catch (IOException e) {
  65             throw new RuntimeException("Cannot create critical internal encryption key",e);
  66         }
  67
  68     }
  69
  70     public AbsAuthentication(final SecurityInfoC<CLIENT> securityInfo, final String user, final byte[] headValue) throws IOException {
  71         this.headValue = headValue==null?null:symm.encode(headValue);
  72         this.user = user;
  73         this.securityInfo = securityInfo;
  74         lastMiss=0L;
  75         count=0;
  76     }
  77
  78     protected String headValue() throws IOException {
  79         if (headValue==null) {
  80             return "";
  81         } else {
  82             return new String(symm.decode(headValue));
  83         }
  84     }
  85
  86     protected void setUser(String id) {
  87         user = id;
  88     }
  89
  90     @Override
  91     public String getID() {
  92         return user;
  93     }
  94
  95     public boolean isDenied() {
  96         if (lastMiss>0 && lastMiss>System.currentTimeMillis()) {
  97             return true;
  98         } else {
  99             lastMiss=0L;
 100             return false;
 101         }
 102     }
 103
 104     public synchronized int setLastResponse(int httpcode) {
 105         if (httpcode == 401) {
 106             ++count;
 107             if (lastMiss==0L && count>MAX_TEMP_COUNT) {
 108                 lastMiss=System.currentTimeMillis()+WAIT_TIME;
 109             }
 110             //                if (count>MAX_SPAM_COUNT) {
 111             //                    System.err.printf("Your service has %d consecutive bad service logins to AAF. \nIt will now exit\n",
 112             //                            count);
 113             //                    System.exit(401);
 114             //                }
 115             if (count%1000==0) {
 116                 System.err.printf("Your service has %d consecutive bad service logins to AAF. AAF Access will be disabled after %d\n",
 117                         count,MAX_SPAM_COUNT);
 118             }
 119
 120         } else {
 121             lastMiss=0;
 122         }
 123         return count;
 124     }
 125
 126     public int count() {
 127         return count;
 128     }
 129
 130 }