90 lines
2.9 KiB
PHP
90 lines
2.9 KiB
PHP
<?php
|
|
|
|
declare(strict_types=1);
|
|
|
|
abstract class BaseController
|
|
{
|
|
protected Base $f3;
|
|
|
|
public function __construct()
|
|
{
|
|
$this->f3 = Base::instance();
|
|
}
|
|
|
|
protected function render(string $view, array $data = [], int $cacheTtl = 0): void
|
|
{
|
|
// Les pages publiques restent cacheables avec le TTL demandé.
|
|
// Si un utilisateur est connecté, le layout dépend de la session
|
|
// (navigation admin, déconnexion + CSRF) : on force expire(0)
|
|
// pour ne pas servir ce rendu à d'autres visiteurs.
|
|
$this->f3->expire($this->currentUser() !== null ? 0 : $cacheTtl);
|
|
|
|
$flash = array_key_exists('flash', $data) && is_array($data['flash'])
|
|
? $data['flash']
|
|
: $this->pullFlash();
|
|
|
|
// currentUser est déjà dans le hive (posé par currentUser()).
|
|
// Le template y accède directement via {{ @currentUser }}.
|
|
$this->f3->mset($data + [
|
|
'view' => $view,
|
|
'flash' => $flash,
|
|
'metaDescription' => null,
|
|
'adminMode' => false,
|
|
]);
|
|
|
|
// F3 régénère @CSRF à chaque requête (variable hive uniquement).
|
|
// On le persiste en session pour que verifyCsrf() puisse comparer
|
|
// le jeton soumis au POST suivant.
|
|
$this->f3->copy('CSRF', 'SESSION.csrf_token');
|
|
echo Template::instance()->render('layout.html');
|
|
}
|
|
|
|
// Résout l'utilisateur courant une seule fois par requête et le
|
|
// stocke dans le hive — accessible partout, y compris les templates.
|
|
protected function currentUser(): ?array
|
|
{
|
|
if (!$this->f3->exists('currentUser', $user)) {
|
|
$userId = (int) ($this->f3->get('SESSION.user_id') ?? 0);
|
|
$user = $userId > 0 ? (new User())->findById($userId) : null;
|
|
$this->f3->set('currentUser', $user);
|
|
}
|
|
|
|
return $user;
|
|
}
|
|
|
|
protected function requireAuth(): void
|
|
{
|
|
if ($this->currentUser() !== null) {
|
|
return;
|
|
}
|
|
|
|
$this->flash('error', 'Connecte-toi pour continuer.');
|
|
$this->f3->reroute('@login');
|
|
}
|
|
|
|
// F3 copy() persiste le jeton CSRF en session au rendu (voir render()).
|
|
// On compare ici le jeton soumis par le formulaire avec celui en session.
|
|
protected function verifyCsrf(): void
|
|
{
|
|
$submitted = (string) ($this->f3->get('POST.csrf_token') ?? '');
|
|
$expected = (string) ($this->f3->get('SESSION.csrf_token') ?? '');
|
|
|
|
if ($submitted !== '' && $expected !== '' && hash_equals($expected, $submitted)) {
|
|
return;
|
|
}
|
|
|
|
$this->f3->error(400, 'Jeton CSRF invalide.');
|
|
}
|
|
|
|
// Empile un message flash — permet plusieurs messages par requête.
|
|
protected function flash(string $type, string $message): void
|
|
{
|
|
$this->f3->push('SESSION.flash', ['type' => $type, 'message' => $message]);
|
|
}
|
|
|
|
private function pullFlash(): array
|
|
{
|
|
return $this->f3->pull('SESSION.flash') ?: [];
|
|
}
|
|
}
|