upd: use a more strict pattern for handling forms

[gigi.git] / src / org / cacert / gigi / pages / LoginPage.java
diff --git a/src/org/cacert/gigi/pages/LoginPage.java b/src/org/cacert/gigi/pages/LoginPage.java

index ba6e0eecd8f7f2055f11b303a111398c356cd1d3..b19de897aa5e7b3f71f9ba122d1fb70a00938696 100644 (file)
--- a/src/org/cacert/gigi/pages/LoginPage.java
+++ b/src/org/cacert/gigi/pages/LoginPage.java
@@ -20,12 +20,18 @@ import org.cacert.gigi.dbObjects.Group;
  import org.cacert.gigi.dbObjects.User;
  import org.cacert.gigi.localisation.Language;
  import org.cacert.gigi.output.template.Form;
+import org.cacert.gigi.output.template.TranslateCommand;
+import org.cacert.gigi.pages.main.RegisterPage;
  import org.cacert.gigi.util.AuthorizationContext;
  import org.cacert.gigi.util.PasswordHash;
+import org.cacert.gigi.util.RateLimit;
+import org.cacert.gigi.util.RateLimit.RateLimitException;
  import org.cacert.gigi.util.ServerConstants;
  
  public class LoginPage extends Page {
  
+    public static final RateLimit RATE_LIMIT = new RateLimit(10, 5 * 60 * 1000);
+
      public class LoginForm extends Form {
  
          public LoginForm(HttpServletRequest hsr) {
@@ -33,7 +39,10 @@ public class LoginPage extends Page {
          }
  
          @Override
-        public boolean submit(PrintWriter out, HttpServletRequest req) throws GigiApiException {
+        public boolean submit(HttpServletRequest req) throws GigiApiException {
+            if (RegisterPage.RATE_LIMIT.isLimitExceeded(req.getRemoteAddr())) {
+                throw new RateLimitException();
+            }
              tryAuthWithUnpw(req);
              return false;
          }
@@ -47,8 +56,10 @@ public class LoginPage extends Page {
  
      public static final String LOGIN_RETURNPATH = "login-returnpath";
  
-    public LoginPage(String title) {
-        super(title);
+    private static final String SUBMIT_EXCEPTION = "login-submit-exception";
+
+    public LoginPage() {
+        super("Password Login");
      }
  
      @Override
@@ -60,6 +71,13 @@ public class LoginPage extends Page {
          }
      }
  
+    @Override
+    public void doPost(HttpServletRequest req, HttpServletResponse resp) throws IOException {
+        if (Form.printFormErrors(req, resp.getWriter())) {
+            Form.getForm(req, LoginForm.class).output(resp.getWriter(), getLanguage(req), new HashMap<String, Object>());
+        }
+    }
+
      @Override
      public boolean beforeTemplate(HttpServletRequest req, HttpServletResponse resp) throws IOException {
          String redir = (String) req.getSession().getAttribute(LOGIN_RETURNPATH);
@@ -69,9 +87,8 @@ public class LoginPage extends Page {
                  tryAuthWithCertificate(req, cert);
              }
              if (req.getMethod().equals("POST")) {
-                try {
-                    Form.getForm(req, LoginForm.class).submit(resp.getWriter(), req);
-                } catch (GigiApiException e) {
+                if ( !Form.getForm(req, LoginForm.class).submitExceptionProtected(req)) {
+                    return false;
                  }
              }
          }
@@ -96,7 +113,7 @@ public class LoginPage extends Page {
          return false;
      }
  
-    private void tryAuthWithUnpw(HttpServletRequest req) {
+    private void tryAuthWithUnpw(HttpServletRequest req) throws GigiApiException {
          String un = req.getParameter("username");
          String pw = req.getParameter("password");
          try (GigiPreparedStatement ps = new GigiPreparedStatement("SELECT `password`, `id` FROM `users` WHERE `email`=? AND verified='1'")) {
@@ -114,10 +131,12 @@ public class LoginPage extends Page {
                          }
                      }
                      loginSession(req, User.getById(rs.getInt(2)));
-                    req.getSession().setAttribute(LOGIN_METHOD, "Password");
+                    req.getSession().setAttribute(LOGIN_METHOD, new TranslateCommand("Password"));
+                    return;
                  }
              }
          }
+        throw new GigiApiException("Username and password didn't match.");
      }
  
      public static User getUser(HttpServletRequest req) {
@@ -141,7 +160,7 @@ public class LoginPage extends Page {
          loginSession(req, user);
          req.getSession().setAttribute(CERT_SERIAL, serial);
          req.getSession().setAttribute(CERT_ISSUER, x509Certificate.getIssuerDN());
-        req.getSession().setAttribute(LOGIN_METHOD, "Certificate");
+        req.getSession().setAttribute(LOGIN_METHOD, new TranslateCommand("Certificate"));
      }
  
      public static String extractSerialFormCert(X509Certificate x509Certificate) {
@@ -169,7 +188,7 @@ public class LoginPage extends Page {
          return uc;
      }
  
-    private static final Group LOGIN_BLOCKED = Group.getByString("blockedlogin");
+    private static final Group LOGIN_BLOCKED = Group.BLOCKEDLOGIN;
  
      private void loginSession(HttpServletRequest req, User user) {
          if (user.isInGroup(LOGIN_BLOCKED)) {