vendor/onelogin/php-saml/src/Saml2/Auth.php line 177

Open in your IDE?
  1. <?php
  2. /**
  3.  * This file is part of php-saml.
  4.  *
  5.  * (c) OneLogin Inc
  6.  *
  7.  * For the full copyright and license information, please view the LICENSE
  8.  * file that was distributed with this source code.
  9.  *
  10.  * @package OneLogin
  11.  * @author  OneLogin Inc <saml-info@onelogin.com>
  12.  * @license MIT https://github.com/onelogin/php-saml/blob/master/LICENSE
  13.  * @link    https://github.com/onelogin/php-saml
  14.  */
  16. namespace OneLogin\Saml2;
  18. use RobRichards\XMLSecLibs\XMLSecurityKey;
  20. use Exception;
  22. /**
  23.  * Main class of OneLogin's PHP Toolkit
  24.  */
  25. class Auth
  26. {
  27.     /**
  28.      * Settings data.
  29.      *
  30.      * @var Settings
  31.      */
  32.     private $_settings;
  34.     /**
  35.      * User attributes data.
  36.      *
  37.      * @var array
  38.      */
  39.     private $_attributes = array();
  41.     /**
  42.      * User attributes data with FriendlyName index.
  43.      *
  44.      * @var array
  45.      */
  46.     private $_attributesWithFriendlyName = array();
  48.     /**
  49.      * NameID
  50.      *
  51.      * @var string
  52.      */
  53.     private $_nameid;
  55.     /**
  56.      * NameID Format
  57.      *
  58.      * @var string
  59.      */
  60.     private $_nameidFormat;
  62.     /**
  63.      * NameID NameQualifier
  64.      *
  65.      * @var string
  66.      */
  67.     private $_nameidNameQualifier;
  69.     /**
  70.      * NameID SP NameQualifier
  71.      *
  72.      * @var string
  73.      */
  74.     private $_nameidSPNameQualifier;
  76.     /**
  77.      * If user is authenticated.
  78.      *
  79.      * @var bool
  80.      */
  81.     private $_authenticated false;
  84.     /**
  85.      * SessionIndex. When the user is logged, this stored it
  86.      * from the AuthnStatement of the SAML Response
  87.      *
  88.      * @var string
  89.      */
  90.     private $_sessionIndex;
  92.     /**
  93.      * SessionNotOnOrAfter. When the user is logged, this stored it
  94.      * from the AuthnStatement of the SAML Response
  95.      *
  96.      * @var int|null
  97.      */
  98.     private $_sessionExpiration;
  100.     /**
  101.      * The ID of the last message processed
  102.      *
  103.      * @var string
  104.      */
  105.     private $_lastMessageId;
  107.     /**
  108.      * The ID of the last assertion processed
  109.      *
  110.      * @var string
  111.      */
  112.     private $_lastAssertionId;
  114.     /**
  115.      * The NotOnOrAfter value of the valid SubjectConfirmationData
  116.      * node (if any) of the last assertion processed
  117.      *
  118.      * @var int
  119.      */
  120.     private $_lastAssertionNotOnOrAfter;
  122.     /**
  123.      * If any error.
  124.      *
  125.      * @var array
  126.      */
  127.     private $_errors = array();
  129.     /**
  130.      * Last error object.
  131.      *
  132.      * @var Error|null
  133.      */
  134.     private $_lastErrorException;
  136.     /**
  137.      * Last error.
  138.      *
  139.      * @var string|null
  140.      */
  141.     private $_lastError;
  143.     /**
  144.      * Last AuthNRequest ID or LogoutRequest ID generated by this Service Provider
  145.      *
  146.      * @var string
  147.      */
  148.     private $_lastRequestID;
  150.     /**
  151.      * The most recently-constructed/processed XML SAML request
  152.      * (AuthNRequest, LogoutRequest)
  153.      *
  154.      * @var string
  155.      */
  156.     private $_lastRequest;
  158.     /**
  159.      * The most recently-constructed/processed XML SAML response
  160.      * (SAMLResponse, LogoutResponse). If the SAMLResponse was
  161.      * encrypted, by default tries to return the decrypted XML
  162.      *
  163.      * @var string|\DomDocument|null
  164.      */
  165.     private $_lastResponse;
  167.     /**
  168.      * Initializes the SP SAML instance.
  169.      *
  170.      * @param array|null $settings Setting data
  171.      *
  172.      * @throws Exception
  173.      * @throws Error
  174.      */
  175.     public function __construct(array $settings null)
  176.     {
  177.         $this->_settings = new Settings($settings);
  178.     }
  180.     /**
  181.      * Returns the settings info
  182.      *
  183.      * @return Settings The settings data.
  184.      */
  185.     public function getSettings()
  186.     {
  187.         return $this->_settings;
  188.     }
  190.     /**
  191.      * Set the strict mode active/disable
  192.      *
  193.      * @param bool $value Strict parameter
  194.      *
  195.      * @throws Error
  196.      */
  197.     public function setStrict($value)
  198.     {
  199.         if (!is_bool($value)) {
  200.             throw new Error(
  201.                 'Invalid value passed to setStrict()',
  202.                 Error::SETTINGS_INVALID_SYNTAX
  203.             );
  204.         }
  206.         $this->_settings->setStrict($value);
  207.     }
  209.     /**
  210.      * Set schemas path
  211.      *
  212.      * @param string $path
  213.      * @return $this
  214.      */
  215.     public function setSchemasPath($path)
  216.     {
  217.         $this->_paths['schemas'] = $path;
  218.     }
  220.     /**
  221.      * Process the SAML Response sent by the IdP.
  222.      *
  223.      * @param string|null $requestId The ID of the AuthNRequest sent by this SP to the IdP
  224.      *
  225.      * @throws Error
  226.      * @throws ValidationError
  227.      */
  228.     public function processResponse($requestId null)
  229.     {
  230.         $this->_errors = array();
  231.         $this->_lastError $this->_lastErrorException null;
  232.         if (isset($_POST['SAMLResponse'])) {
  233.             // AuthnResponse -- HTTP_POST Binding
  234.             $response = new Response($this->_settings$_POST['SAMLResponse']);
  235.             $this->_lastResponse $response->getXMLDocument();
  237.             if ($response->isValid($requestId)) {
  238.                 $this->_attributes $response->getAttributes();
  239.                 $this->_attributesWithFriendlyName $response->getAttributesWithFriendlyName();
  240.                 $this->_nameid $response->getNameId();
  241.                 $this->_nameidFormat $response->getNameIdFormat();
  242.                 $this->_nameidNameQualifier $response->getNameIdNameQualifier();
  243.                 $this->_nameidSPNameQualifier $response->getNameIdSPNameQualifier();
  244.                 $this->_authenticated true;
  245.                 $this->_sessionIndex $response->getSessionIndex();
  246.                 $this->_sessionExpiration $response->getSessionNotOnOrAfter();
  247.                 $this->_lastMessageId $response->getId();
  248.                 $this->_lastAssertionId $response->getAssertionId();
  249.                 $this->_lastAssertionNotOnOrAfter $response->getAssertionNotOnOrAfter();
  250.             } else {
  251.                 $this->_errors[] = 'invalid_response';
  252.                 $this->_lastErrorException $response->getErrorException();
  253.                 $this->_lastError $response->getError();
  254.             }
  255.         } else {
  256.             $this->_errors[] = 'invalid_binding';
  257.             throw new Error(
  258.                 'SAML Response not found, Only supported HTTP_POST Binding',
  259.                 Error::SAML_RESPONSE_NOT_FOUND
  260.             );
  261.         }
  262.     }
  264.     /**
  265.      * Process the SAML Logout Response / Logout Request sent by the IdP.
  266.      *
  267.      * @param bool        $keepLocalSession             When false will destroy the local session, otherwise will keep it
  268.      * @param string|null $requestId                    The ID of the LogoutRequest sent by this SP to the IdP
  269.      * @param bool        $retrieveParametersFromServer True if we want to use parameters from $_SERVER to validate the signature
  270.      * @param callable    $cbDeleteSession              Callback to be executed to delete session
  271.      * @param bool        $stay                         True if we want to stay (returns the url string) False to redirect
  272.      *
  273.      * @return string|null
  274.      *
  275.      * @throws Error
  276.      */
  277.     public function processSLO($keepLocalSession false$requestId null$retrieveParametersFromServer false$cbDeleteSession null$stay false)
  278.     {
  279.         $this->_errors = array();
  280.         $this->_lastError $this->_lastErrorException null;
  281.         if (isset($_GET['SAMLResponse'])) {
  282.             $logoutResponse = new LogoutResponse($this->_settings$_GET['SAMLResponse']);
  283.             $this->_lastResponse $logoutResponse->getXML();
  284.             if (!$logoutResponse->isValid($requestId$retrieveParametersFromServer)) {
  285.                 $this->_errors[] = 'invalid_logout_response';
  286.                 $this->_lastErrorException $logoutResponse->getErrorException();
  287.                 $this->_lastError $logoutResponse->getError();
  289.             } else if ($logoutResponse->getStatus() !== Constants::STATUS_SUCCESS) {
  290.                 $this->_errors[] = 'logout_not_success';
  291.             } else {
  292.                 $this->_lastMessageId $logoutResponse->id;
  293.                 if (!$keepLocalSession) {
  294.                     if ($cbDeleteSession === null) {
  295.                         Utils::deleteLocalSession();
  296.                     } else {
  297.                         call_user_func($cbDeleteSession);
  298.                     }
  299.                 }
  300.             }
  301.         } else if (isset($_GET['SAMLRequest'])) {
  302.             $logoutRequest = new LogoutRequest($this->_settings$_GET['SAMLRequest']);
  303.             $this->_lastRequest $logoutRequest->getXML();
  304.             if (!$logoutRequest->isValid($retrieveParametersFromServer)) {
  305.                 $this->_errors[] = 'invalid_logout_request';
  306.                 $this->_lastErrorException $logoutRequest->getErrorException();
  307.                 $this->_lastError $logoutRequest->getError();
  308.             } else {
  309.                 if (!$keepLocalSession) {
  310.                     if ($cbDeleteSession === null) {
  311.                         Utils::deleteLocalSession();
  312.                     } else {
  313.                         call_user_func($cbDeleteSession);
  314.                     }
  315.                 }
  316.                 $inResponseTo $logoutRequest->id;
  317.                 $this->_lastMessageId $logoutRequest->id;
  318.                 $responseBuilder = new LogoutResponse($this->_settings);
  319.                 $responseBuilder->build($inResponseTo);
  320.                 $this->_lastResponse $responseBuilder->getXML();
  322.                 $logoutResponse $responseBuilder->getResponse();
  324.                 $parameters = array('SAMLResponse' => $logoutResponse);
  325.                 if (isset($_GET['RelayState'])) {
  326.                     $parameters['RelayState'] = $_GET['RelayState'];
  327.                 }
  329.                 $security $this->_settings->getSecurityData();
  330.                 if (isset($security['logoutResponseSigned']) && $security['logoutResponseSigned']) {
  331.                     $signature $this->buildResponseSignature($logoutResponse, isset($parameters['RelayState'])? $parameters['RelayState']: null$security['signatureAlgorithm']);
  332.                     $parameters['SigAlg'] = $security['signatureAlgorithm'];
  333.                     $parameters['Signature'] = $signature;
  334.                 }
  336.                 return $this->redirectTo($this->getSLOResponseUrl(), $parameters$stay);
  337.             }
  338.         } else {
  339.             $this->_errors[] = 'invalid_binding';
  340.             throw new Error(
  341.                 'SAML LogoutRequest/LogoutResponse not found. Only supported HTTP_REDIRECT Binding',
  342.                 Error::SAML_LOGOUTMESSAGE_NOT_FOUND
  343.             );
  344.         }
  345.     }
  347.     /**
  348.      * Redirects the user to the url past by parameter
  349.      * or to the url that we defined in our SSO Request.
  350.      *
  351.      * @param string $url        The target URL to redirect the user.
  352.      * @param array  $parameters Extra parameters to be passed as part of the url
  353.      * @param bool   $stay       True if we want to stay (returns the url string) False to redirect
  354.      *
  355.      * @return string|null
  356.      */
  357.     public function redirectTo($url '', array $parameters = array(), $stay false)
  358.     {
  359.         assert(is_string($url));
  361.         if (empty($url) && isset($_REQUEST['RelayState'])) {
  362.             $url $_REQUEST['RelayState'];
  363.         }
  365.         return Utils::redirect($url$parameters$stay);
  366.     }
  368.     /**
  369.      * Checks if the user is authenticated or not.
  370.      *
  371.      * @return bool  True if the user is authenticated
  372.      */
  373.     public function isAuthenticated()
  374.     {
  375.         return $this->_authenticated;
  376.     }
  378.     /**
  379.      * Returns the set of SAML attributes.
  380.      *
  381.      * @return array  Attributes of the user.
  382.      */
  383.     public function getAttributes()
  384.     {
  385.         return $this->_attributes;
  386.     }
  389.     /**
  390.      * Returns the set of SAML attributes indexed by FriendlyName
  391.      *
  392.      * @return array  Attributes of the user.
  393.      */
  394.     public function getAttributesWithFriendlyName()
  395.     {
  396.         return $this->_attributesWithFriendlyName;
  397.     }
  399.     /**
  400.      * Returns the nameID
  401.      *
  402.      * @return string  The nameID of the assertion
  403.      */
  404.     public function getNameId()
  405.     {
  406.         return $this->_nameid;
  407.     }
  409.     /**
  410.      * Returns the nameID Format
  411.      *
  412.      * @return string  The nameID Format of the assertion
  413.      */
  414.     public function getNameIdFormat()
  415.     {
  416.         return $this->_nameidFormat;
  417.     }
  419.     /**
  420.      * Returns the nameID NameQualifier
  421.      *
  422.      * @return string  The nameID NameQualifier of the assertion
  423.      */
  424.     public function getNameIdNameQualifier()
  425.     {
  426.         return $this->_nameidNameQualifier;
  427.     }
  429.     /**
  430.      * Returns the nameID SP NameQualifier
  431.      *
  432.      * @return string  The nameID SP NameQualifier of the assertion
  433.      */
  434.     public function getNameIdSPNameQualifier()
  435.     {
  436.         return $this->_nameidSPNameQualifier;
  437.     }
  439.     /**
  440.      * Returns the SessionIndex
  441.      *
  442.      * @return string|null  The SessionIndex of the assertion
  443.      */
  444.     public function getSessionIndex()
  445.     {
  446.         return $this->_sessionIndex;
  447.     }
  449.     /**
  450.      * Returns the SessionNotOnOrAfter
  451.      *
  452.      * @return int|null  The SessionNotOnOrAfter of the assertion
  453.      */
  454.     public function getSessionExpiration()
  455.     {
  456.         return $this->_sessionExpiration;
  457.     }
  459.     /**
  460.      * Returns if there were any error
  461.      *
  462.      * @return array  Errors
  463.      */
  464.     public function getErrors()
  465.     {
  466.         return $this->_errors;
  467.     }
  469.     /**
  470.      * Returns the reason for the last error
  471.      *
  472.      * @return string|null  Error reason
  473.      */
  474.     public function getLastErrorReason()
  475.     {
  476.         return $this->_lastError;
  477.     }
  480.     /**
  481.      * Returns the last error
  482.      *
  483.      * @return Exception|null Error
  484.      */
  485.     public function getLastErrorException()
  486.     {
  487.         return $this->_lastErrorException;
  488.     }
  490.     /**
  491.      * Returns the requested SAML attribute
  492.      *
  493.      * @param string $name The requested attribute of the user.
  494.      *
  495.      * @return array|null Requested SAML attribute ($name).
  496.      */
  497.     public function getAttribute($name)
  498.     {
  499.         assert(is_string($name));
  501.         $value null;
  502.         if (isset($this->_attributes[$name])) {
  503.             return $this->_attributes[$name];
  504.         }
  505.         return $value;
  506.     }
  508.     /**
  509.      * Returns the requested SAML attribute indexed by FriendlyName
  510.      *
  511.      * @param string $friendlyName The requested attribute of the user.
  512.      *
  513.      * @return array|null Requested SAML attribute ($friendlyName).
  514.      */
  515.     public function getAttributeWithFriendlyName($friendlyName)
  516.     {
  517.         assert(is_string($friendlyName));
  518.         $value null;
  519.         if (isset($this->_attributesWithFriendlyName[$friendlyName])) {
  520.             return $this->_attributesWithFriendlyName[$friendlyName];
  521.         }
  522.         return $value;
  523.     }
  525.     /**
  526.      * Initiates the SSO process.
  527.      *
  528.      * @param string|null $returnTo        The target URL the user should be returned to after login.
  529.      * @param array       $parameters      Extra parameters to be added to the GET
  530.      * @param bool        $forceAuthn      When true the AuthNRequest will set the ForceAuthn='true'
  531.      * @param bool        $isPassive       When true the AuthNRequest will set the Ispassive='true'
  532.      * @param bool        $stay            True if we want to stay (returns the url string) False to redirect
  533.      * @param bool        $setNameIdPolicy When true the AuthNRequest will set a nameIdPolicy element
  534.      * @param string      $nameIdValueReq  Indicates to the IdP the subject that should be authenticated
  535.      *
  536.      * @return string|null If $stay is True, it return a string with the SLO URL + LogoutRequest + parameters
  537.      *
  538.      * @throws Error
  539.      */
  540.     public function login($returnTo null, array $parameters = array(), $forceAuthn false$isPassive false$stay false$setNameIdPolicy true$nameIdValueReq null)
  541.     {
  542.         $authnRequest $this->buildAuthnRequest($this->_settings$forceAuthn$isPassive$setNameIdPolicy$nameIdValueReq);
  544.         $this->_lastRequest $authnRequest->getXML();
  545.         $this->_lastRequestID $authnRequest->getId();
  547.         $samlRequest $authnRequest->getRequest();
  548.         $parameters['SAMLRequest'] = $samlRequest;
  550.         if (!empty($returnTo)) {
  551.             $parameters['RelayState'] = $returnTo;
  552.         } else {
  553.             $parameters['RelayState'] = Utils::getSelfRoutedURLNoQuery();
  554.         }
  556.         $security $this->_settings->getSecurityData();
  557.         if (isset($security['authnRequestsSigned']) && $security['authnRequestsSigned']) {
  558.             $signature $this->buildRequestSignature($samlRequest$parameters['RelayState'], $security['signatureAlgorithm']);
  559.             $parameters['SigAlg'] = $security['signatureAlgorithm'];
  560.             $parameters['Signature'] = $signature;
  561.         }
  562.         return $this->redirectTo($this->getSSOurl(), $parameters$stay);
  563.     }
  565.     /**
  566.      * Initiates the SLO process.
  567.      *
  568.      * @param string|null $returnTo            The target URL the user should be returned to after logout.
  569.      * @param array       $parameters          Extra parameters to be added to the GET
  570.      * @param string|null $nameId              The NameID that will be set in the LogoutRequest.
  571.      * @param string|null $sessionIndex        The SessionIndex (taken from the SAML Response in the SSO process).
  572.      * @param bool        $stay                True if we want to stay (returns the url string) False to redirect
  573.      * @param string|null $nameIdFormat        The NameID Format will be set in the LogoutRequest.
  574.      * @param string|null $nameIdNameQualifier The NameID NameQualifier will be set in the LogoutRequest.
  575.      *
  576.      * @return string|null If $stay is True, it return a string with the SLO URL + LogoutRequest + parameters
  577.      *
  578.      * @throws Error
  579.      */
  580.     public function logout($returnTo null, array $parameters = array(), $nameId null$sessionIndex null$stay false$nameIdFormat null$nameIdNameQualifier null$nameIdSPNameQualifier null)
  581.     {
  582.         $sloUrl $this->getSLOurl();
  583.         if (empty($sloUrl)) {
  584.             throw new Error(
  585.                 'The IdP does not support Single Log Out',
  586.                 Error::SAML_SINGLE_LOGOUT_NOT_SUPPORTED
  587.             );
  588.         }
  590.         if (empty($nameId) && !empty($this->_nameid)) {
  591.             $nameId $this->_nameid;
  592.         }
  593.         if (empty($nameIdFormat) && !empty($this->_nameidFormat)) {
  594.             $nameIdFormat $this->_nameidFormat;
  595.         }
  597.         $logoutRequest = new LogoutRequest($this->_settingsnull$nameId$sessionIndex$nameIdFormat$nameIdNameQualifier$nameIdSPNameQualifier);
  599.         $this->_lastRequest $logoutRequest->getXML();
  600.         $this->_lastRequestID $logoutRequest->id;
  602.         $samlRequest $logoutRequest->getRequest();
  604.         $parameters['SAMLRequest'] = $samlRequest;
  605.         if (!empty($returnTo)) {
  606.             $parameters['RelayState'] = $returnTo;
  607.         } else {
  608.             $parameters['RelayState'] = Utils::getSelfRoutedURLNoQuery();
  609.         }
  611.         $security $this->_settings->getSecurityData();
  612.         if (isset($security['logoutRequestSigned']) && $security['logoutRequestSigned']) {
  613.             $signature $this->buildRequestSignature($samlRequest$parameters['RelayState'], $security['signatureAlgorithm']);
  614.             $parameters['SigAlg'] = $security['signatureAlgorithm'];
  615.             $parameters['Signature'] = $signature;
  616.         }
  618.         return $this->redirectTo($sloUrl$parameters$stay);
  619.     }
  621.    /**
  622.      * Gets the IdP SSO url.
  623.      *
  624.      * @return string The url of the IdP Single Sign On Service
  625.      */
  626.     public function getSSOurl()
  627.     {
  628.         return $this->_settings->getIdPSSOUrl();
  629.     }
  631.     /**
  632.      * Gets the IdP SLO url.
  633.      *
  634.      * @return string|null The url of the IdP Single Logout Service
  635.      */
  636.     public function getSLOurl()
  637.     {
  638.         return $this->_settings->getIdPSLOUrl();
  639.     }
  641.     /**
  642.      * Gets the IdP SLO response url.
  643.      *
  644.      * @return string|null The response url of the IdP Single Logout Service
  645.      */
  646.     public function getSLOResponseUrl()
  647.     {
  648.         return $this->_settings->getIdPSLOResponseUrl();
  649.     }
  652.     /**
  653.      * Gets the ID of the last AuthNRequest or LogoutRequest generated by the Service Provider.
  654.      *
  655.      * @return string The ID of the Request SAML message.
  656.      */
  657.     public function getLastRequestID()
  658.     {
  659.         return $this->_lastRequestID;
  660.     }
  662.     /**
  663.      * Creates an AuthnRequest
  664.      *
  665.      * @param Settings $settings        Setting data
  666.      * @param bool     $forceAuthn      When true the AuthNRequest will set the ForceAuthn='true'
  667.      * @param bool     $isPassive       When true the AuthNRequest will set the Ispassive='true'
  668.      * @param bool     $setNameIdPolicy When true the AuthNRequest will set a nameIdPolicy element
  669.      * @param string   $nameIdValueReq  Indicates to the IdP the subject that should be authenticated
  670.      *
  671.      * @return AuthnRequest The AuthnRequest object
  672.      */
  673.     public function buildAuthnRequest($settings$forceAuthn$isPassive$setNameIdPolicy$nameIdValueReq null)
  674.     {
  675.         return new AuthnRequest($settings$forceAuthn$isPassive$setNameIdPolicy$nameIdValueReq);
  676.     }
  678.     /**
  679.      * Generates the Signature for a SAML Request
  680.      *
  681.      * @param string $samlRequest   The SAML Request
  682.      * @param string $relayState    The RelayState
  683.      * @param string $signAlgorithm Signature algorithm method
  684.      *
  685.      * @return string A base64 encoded signature
  686.      *
  687.      * @throws Exception
  688.      * @throws Error
  689.      */
  690.     public function buildRequestSignature($samlRequest$relayState$signAlgorithm XMLSecurityKey::RSA_SHA256)
  691.     {
  692.         return $this->buildMessageSignature($samlRequest$relayState$signAlgorithm"SAMLRequest");
  693.     }
  695.     /**
  696.      * Generates the Signature for a SAML Response
  697.      *
  698.      * @param string $samlResponse  The SAML Response
  699.      * @param string $relayState    The RelayState
  700.      * @param string $signAlgorithm Signature algorithm method
  701.      *
  702.      * @return string A base64 encoded signature
  703.      *
  704.      * @throws Exception
  705.      * @throws Error
  706.      */
  707.     public function buildResponseSignature($samlResponse$relayState$signAlgorithm XMLSecurityKey::RSA_SHA256)
  708.     {
  709.         return $this->buildMessageSignature($samlResponse$relayState$signAlgorithm"SAMLResponse");
  710.     }
  712.     /**
  713.      * Generates the Signature for a SAML Message
  714.      *
  715.      * @param string $samlMessage   The SAML Message
  716.      * @param string $relayState    The RelayState
  717.      * @param string $signAlgorithm Signature algorithm method
  718.      * @param string $type          "SAMLRequest" or "SAMLResponse"
  719.      *
  720.      * @return string A base64 encoded signature
  721.      *
  722.      * @throws Exception
  723.      * @throws Error
  724.      */
  725.     private function buildMessageSignature($samlMessage$relayState$signAlgorithm XMLSecurityKey::RSA_SHA256$type "SAMLRequest")
  726.     {
  727.         $key $this->_settings->getSPkey();
  728.         if (empty($key)) {
  729.             if ($type == "SAMLRequest") {
  730.                 $errorMsg "Trying to sign the SAML Request but can't load the SP private key";
  731.             } else {
  732.                 $errorMsg "Trying to sign the SAML Response but can't load the SP private key";
  733.             }
  735.             throw new Error($errorMsgError::PRIVATE_KEY_NOT_FOUND);
  736.         }
  738.         $objKey = new XMLSecurityKey($signAlgorithm, array('type' => 'private'));
  739.         $objKey->loadKey($keyfalse);
  741.         $security $this->_settings->getSecurityData();
  742.         if ($security['lowercaseUrlencoding']) {
  743.             $msg $type.'='.rawurlencode($samlMessage);
  744.             if (isset($relayState)) {
  745.                 $msg .= '&RelayState='.rawurlencode($relayState);
  746.             }
  747.             $msg .= '&SigAlg=' rawurlencode($signAlgorithm);
  748.         } else {
  749.             $msg $type.'='.urlencode($samlMessage);
  750.             if (isset($relayState)) {
  751.                 $msg .= '&RelayState='.urlencode($relayState);
  752.             }
  753.             $msg .= '&SigAlg=' urlencode($signAlgorithm);
  754.         }
  755.         $signature $objKey->signData($msg);
  756.         return base64_encode($signature);
  757.     }
  759.     /**
  760.      * @return string The ID of the last message processed
  761.      */
  762.     public function getLastMessageId()
  763.     {
  764.         return $this->_lastMessageId;
  765.     }
  767.     /**
  768.      * @return string The ID of the last assertion processed
  769.      */
  770.     public function getLastAssertionId()
  771.     {
  772.         return $this->_lastAssertionId;
  773.     }
  775.     /**
  776.      * @return int The NotOnOrAfter value of the valid
  777.      *         SubjectConfirmationData node (if any)
  778.      *         of the last assertion processed
  779.      */
  780.     public function getLastAssertionNotOnOrAfter()
  781.     {
  782.         return $this->_lastAssertionNotOnOrAfter;
  783.     }
  785.     /**
  786.      * Returns the most recently-constructed/processed
  787.      * XML SAML request (AuthNRequest, LogoutRequest)
  788.      *
  789.      * @return string|null The Request XML
  790.      */
  791.     public function getLastRequestXML()
  792.     {
  793.         return $this->_lastRequest;
  794.     }
  796.     /**
  797.      * Returns the most recently-constructed/processed
  798.      * XML SAML response (SAMLResponse, LogoutResponse).
  799.      * If the SAMLResponse was encrypted, by default tries
  800.      * to return the decrypted XML.
  801.      *
  802.      * @return string|null The Response XML
  803.      */
  804.     public function getLastResponseXML()
  805.     {
  806.         $response null;
  807.         if (isset($this->_lastResponse)) {
  808.             if (is_string($this->_lastResponse)) {
  809.                 $response $this->_lastResponse;
  810.             } else {
  811.                 $response $this->_lastResponse->saveXML();
  812.             }
  813.         }
  815.         return $response;
  816.     }
  817. }