105 lines
3.1 KiB
PHP
105 lines
3.1 KiB
PHP
<?php
|
|
|
|
declare(strict_types=1);
|
|
|
|
abstract class BaseController
|
|
{
|
|
protected Base $f3;
|
|
|
|
public function __construct()
|
|
{
|
|
$this->f3 = Base::instance();
|
|
}
|
|
|
|
protected function render(string $view, array $data = [], int $cacheTtl = 0): void
|
|
{
|
|
// Les pages publiques restent cacheables avec le TTL demandé.
|
|
// Si un utilisateur est connecté, le layout dépend de la session
|
|
// (navigation admin, déconnexion + CSRF) : on force expire(0)
|
|
// pour ne pas servir ce rendu à d'autres visiteurs.
|
|
$currentUser = $this->currentUser();
|
|
$this->f3->expire($currentUser !== null ? 0 : $cacheTtl);
|
|
|
|
$flash = array_key_exists('flash', $data) && is_array($data['flash'])
|
|
? $data['flash']
|
|
: $this->pullFlash();
|
|
|
|
// Jeton CSRF stable par session : plus simple et plus robuste que le
|
|
// pool précédent, tout en restant compatible multi-onglets.
|
|
$this->ensureCsrfToken();
|
|
|
|
$this->f3->mset($data + [
|
|
'view' => $view,
|
|
'flash' => $flash,
|
|
'metaDescription' => null,
|
|
'adminMode' => false,
|
|
'currentUser' => $currentUser,
|
|
'FORM_CSRF' => (string) $this->f3->get('SESSION.csrf_token'),
|
|
]);
|
|
|
|
echo Template::instance()->render('layout.html');
|
|
}
|
|
|
|
// Résout l'utilisateur courant une seule fois par requête et le
|
|
// stocke dans le hive — accessible partout, y compris les templates.
|
|
protected function currentUser(): ?array
|
|
{
|
|
if (!$this->f3->exists('currentUser', $user)) {
|
|
$userId = (int) ($this->f3->get('SESSION.user_id') ?? 0);
|
|
$user = $userId > 0 ? (new User())->findById($userId) : null;
|
|
$this->f3->set('currentUser', $user);
|
|
}
|
|
|
|
return $user;
|
|
}
|
|
|
|
protected function requireAuth(): void
|
|
{
|
|
if ($this->currentUser() !== null) {
|
|
return;
|
|
}
|
|
|
|
$this->flash('error', 'Connecte-toi pour continuer.');
|
|
$this->f3->reroute('@login');
|
|
}
|
|
|
|
protected function verifyCsrf(): void
|
|
{
|
|
$submitted = trim((string) ($this->f3->get('POST.csrf_token') ?? ''));
|
|
$expected = trim((string) ($this->f3->get('SESSION.csrf_token') ?? ''));
|
|
|
|
if ($submitted !== '' && $expected !== '' && hash_equals($expected, $submitted)) {
|
|
return;
|
|
}
|
|
|
|
$this->f3->error(400, 'Jeton CSRF invalide.');
|
|
}
|
|
|
|
// Empile un message flash — permet plusieurs messages par requête.
|
|
protected function flash(string $type, string $message): void
|
|
{
|
|
$this->f3->push('SESSION.flash', ['type' => $type, 'message' => $message]);
|
|
}
|
|
|
|
protected function resetCsrfToken(): void
|
|
{
|
|
$this->f3->clear('SESSION.csrf_token');
|
|
$this->ensureCsrfToken();
|
|
}
|
|
|
|
private function ensureCsrfToken(): void
|
|
{
|
|
$token = trim((string) ($this->f3->get('SESSION.csrf_token') ?? ''));
|
|
if ($token !== '') {
|
|
return;
|
|
}
|
|
|
|
$this->f3->set('SESSION.csrf_token', bin2hex(random_bytes(32)));
|
|
}
|
|
|
|
private function pullFlash(): array
|
|
{
|
|
return $this->f3->pull('SESSION.flash') ?: [];
|
|
}
|
|
}
|