Merge branch 'wip-MDL-37983-master' of git://github.com/abgreeve/moodle
[moodle.git] / login / index.php
1 <?php
3 // This file is part of Moodle - http://moodle.org/
4 //
5 // Moodle is free software: you can redistribute it and/or modify
6 // it under the terms of the GNU General Public License as published by
7 // the Free Software Foundation, either version 3 of the License, or
8 // (at your option) any later version.
9 //
10 // Moodle is distributed in the hope that it will be useful,
11 // but WITHOUT ANY WARRANTY; without even the implied warranty of
12 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13 // GNU General Public License for more details.
14 //
15 // You should have received a copy of the GNU General Public License
16 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
18 /**
19  * Main login page.
20  *
21  * @package    core
22  * @subpackage auth
23  * @copyright  1999 onwards Martin Dougiamas  http://dougiamas.com
24  * @license    http://www.gnu.org/copyleft/gpl.html GNU GPL v3 or later
25  */
27 require('../config.php');
29 redirect_if_major_upgrade_required();
31 $testsession = optional_param('testsession', 0, PARAM_INT); // test session works properly
32 $cancel      = optional_param('cancel', 0, PARAM_BOOL);      // redirect to frontpage, needed for loginhttps
34 if ($cancel) {
35     redirect(new moodle_url('/'));
36 }
38 //HTTPS is required in this page when $CFG->loginhttps enabled
39 $PAGE->https_required();
41 $context = context_system::instance();
42 $PAGE->set_url("$CFG->httpswwwroot/login/index.php");
43 $PAGE->set_context($context);
44 $PAGE->set_pagelayout('login');
46 /// Initialize variables
47 $errormsg = '';
48 $errorcode = 0;
50 // login page requested session test
51 if ($testsession) {
52     if ($testsession == $USER->id) {
53         if (isset($SESSION->wantsurl)) {
54             $urltogo = $SESSION->wantsurl;
55         } else {
56             $urltogo = $CFG->wwwroot.'/';
57         }
58         unset($SESSION->wantsurl);
59         redirect($urltogo);
60     } else {
61         // TODO: try to find out what is the exact reason why sessions do not work
62         $errormsg = get_string("cookiesnotenabled");
63         $errorcode = 1;
64     }
65 }
67 /// Check for timed out sessions
68 if (!empty($SESSION->has_timed_out)) {
69     $session_has_timed_out = true;
70     unset($SESSION->has_timed_out);
71 } else {
72     $session_has_timed_out = false;
73 }
75 /// auth plugins may override these - SSO anyone?
76 $frm  = false;
77 $user = false;
79 $authsequence = get_enabled_auth_plugins(true); // auths, in sequence
80 foreach($authsequence as $authname) {
81     $authplugin = get_auth_plugin($authname);
82     $authplugin->loginpage_hook();
83 }
86 /// Define variables used in page
87 $site = get_site();
89 $loginsite = get_string("loginsite");
90 $PAGE->navbar->add($loginsite);
92 if ($user !== false or $frm !== false or $errormsg !== '') {
93     // some auth plugin already supplied full user, fake form data or prevented user login with error message
95 } else if (!empty($SESSION->wantsurl) && file_exists($CFG->dirroot.'/login/weblinkauth.php')) {
96     // Handles the case of another Moodle site linking into a page on this site
97     //TODO: move weblink into own auth plugin
98     include($CFG->dirroot.'/login/weblinkauth.php');
99     if (function_exists('weblink_auth')) {
100         $user = weblink_auth($SESSION->wantsurl);
101     }
102     if ($user) {
103         $frm->username = $user->username;
104     } else {
105         $frm = data_submitted();
106     }
108 } else {
109     $frm = data_submitted();
112 /// Check if the user has actually submitted login data to us
114 if ($frm and isset($frm->username)) {                             // Login WITH cookies
116     $frm->username = trim(textlib::strtolower($frm->username));
118     if (is_enabled_auth('none') ) {
119         if ($frm->username !== clean_param($frm->username, PARAM_USERNAME)) {
120             $errormsg = get_string('username').': '.get_string("invalidusername");
121             $errorcode = 2;
122             $user = null;
123         }
124     }
126     if ($user) {
127         //user already supplied by aut plugin prelogin hook
128     } else if (($frm->username == 'guest') and empty($CFG->guestloginbutton)) {
129         $user = false;    /// Can't log in as guest if guest button is disabled
130         $frm = false;
131     } else {
132         if (empty($errormsg)) {
133             $user = authenticate_user_login($frm->username, $frm->password);
134         }
135     }
137     // Intercept 'restored' users to provide them with info & reset password
138     if (!$user and $frm and is_restored_user($frm->username)) {
139         $PAGE->set_title(get_string('restoredaccount'));
140         $PAGE->set_heading($site->fullname);
141         echo $OUTPUT->header();
142         echo $OUTPUT->heading(get_string('restoredaccount'));
143         echo $OUTPUT->box(get_string('restoredaccountinfo'), 'generalbox boxaligncenter');
144         require_once('restored_password_form.php'); // Use our "supplanter" login_forgot_password_form. MDL-20846
145         $form = new login_forgot_password_form('forgot_password.php', array('username' => $frm->username));
146         $form->display();
147         echo $OUTPUT->footer();
148         die;
149     }
151     if ($user) {
153         // language setup
154         if (isguestuser($user)) {
155             // no predefined language for guests - use existing session or default site lang
156             unset($user->lang);
158         } else if (!empty($user->lang)) {
159             // unset previous session language - use user preference instead
160             unset($SESSION->lang);
161         }
163         if (empty($user->confirmed)) {       // This account was never confirmed
164             $PAGE->set_title(get_string("mustconfirm"));
165             $PAGE->set_heading($site->fullname);
166             echo $OUTPUT->header();
167             echo $OUTPUT->heading(get_string("mustconfirm"));
168             echo $OUTPUT->box(get_string("emailconfirmsent", "", $user->email), "generalbox boxaligncenter");
169             echo $OUTPUT->footer();
170             die;
171         }
173     /// Let's get them all set up.
174         add_to_log(SITEID, 'user', 'login', "view.php?id=$USER->id&course=".SITEID,
175                    $user->id, 0, $user->id);
176         complete_user_login($user);
178         // sets the username cookie
179         if (!empty($CFG->nolastloggedin)) {
180             // do not store last logged in user in cookie
181             // auth plugins can temporarily override this from loginpage_hook()
182             // do not save $CFG->nolastloggedin in database!
184         } else if (empty($CFG->rememberusername) or ($CFG->rememberusername == 2 and empty($frm->rememberusername))) {
185             // no permanent cookies, delete old one if exists
186             set_moodle_cookie('');
188         } else {
189             set_moodle_cookie($USER->username);
190         }
192     /// Prepare redirection
193         if (user_not_fully_set_up($USER)) {
194             $urltogo = $CFG->wwwroot.'/user/edit.php';
195             // We don't delete $SESSION->wantsurl yet, so we get there later
197         } else if (isset($SESSION->wantsurl) and (strpos($SESSION->wantsurl, $CFG->wwwroot) === 0 or strpos($SESSION->wantsurl, str_replace('http://', 'https://', $CFG->wwwroot)) === 0)) {
198             $urltogo = $SESSION->wantsurl;    /// Because it's an address in this site
199             unset($SESSION->wantsurl);
201         } else {
202             // no wantsurl stored or external - go to homepage
203             $urltogo = $CFG->wwwroot.'/';
204             unset($SESSION->wantsurl);
205         }
207         // If the url to go to is the same as the site page, check for default homepage.
208         if ($urltogo == ($CFG->wwwroot . '/')) {
209             $home_page = get_home_page();
210             // Go to my-moodle page instead of site homepage if defaulthomepage set to homepage_my
211             if ($home_page == HOMEPAGE_MY && !is_siteadmin() && !isguestuser()) {
212                 if ($urltogo == $CFG->wwwroot or $urltogo == $CFG->wwwroot.'/' or $urltogo == $CFG->wwwroot.'/index.php') {
213                     $urltogo = $CFG->wwwroot.'/my/';
214                 }
215             }
216         }
218     /// check if user password has expired
219     /// Currently supported only for ldap-authentication module
220         $userauth = get_auth_plugin($USER->auth);
221         if (!empty($userauth->config->expiration) and $userauth->config->expiration == 1) {
222             if ($userauth->can_change_password()) {
223                 $passwordchangeurl = $userauth->change_password_url();
224                 if (!$passwordchangeurl) {
225                     $passwordchangeurl = $CFG->httpswwwroot.'/login/change_password.php';
226                 }
227             } else {
228                 $passwordchangeurl = $CFG->httpswwwroot.'/login/change_password.php';
229             }
230             $days2expire = $userauth->password_expire($USER->username);
231             $PAGE->set_title("$site->fullname: $loginsite");
232             $PAGE->set_heading("$site->fullname");
233             if (intval($days2expire) > 0 && intval($days2expire) < intval($userauth->config->expiration_warning)) {
234                 echo $OUTPUT->header();
235                 echo $OUTPUT->confirm(get_string('auth_passwordwillexpire', 'auth', $days2expire), $passwordchangeurl, $urltogo);
236                 echo $OUTPUT->footer();
237                 exit;
238             } elseif (intval($days2expire) < 0 ) {
239                 echo $OUTPUT->header();
240                 echo $OUTPUT->confirm(get_string('auth_passwordisexpired', 'auth'), $passwordchangeurl, $urltogo);
241                 echo $OUTPUT->footer();
242                 exit;
243             }
244         }
246         // test the session actually works by redirecting to self
247         $SESSION->wantsurl = $urltogo;
248         redirect(new moodle_url(get_login_url(), array('testsession'=>$USER->id)));
250     } else {
251         if (empty($errormsg)) {
252             $errormsg = get_string("invalidlogin");
253             $errorcode = 3;
254         }
255     }
258 /// Detect problems with timedout sessions
259 if ($session_has_timed_out and !data_submitted()) {
260     $errormsg = get_string('sessionerroruser', 'error');
261     $errorcode = 4;
264 /// First, let's remember where the user was trying to get to before they got here
266 if (empty($SESSION->wantsurl)) {
267     $SESSION->wantsurl = (array_key_exists('HTTP_REFERER',$_SERVER) &&
268                           $_SERVER["HTTP_REFERER"] != $CFG->wwwroot &&
269                           $_SERVER["HTTP_REFERER"] != $CFG->wwwroot.'/' &&
270                           $_SERVER["HTTP_REFERER"] != $CFG->httpswwwroot.'/login/' &&
271                           $_SERVER["HTTP_REFERER"] != $CFG->httpswwwroot.'/login/index.php')
272         ? $_SERVER["HTTP_REFERER"] : NULL;
275 /// Redirect to alternative login URL if needed
276 if (!empty($CFG->alternateloginurl)) {
277     $loginurl = $CFG->alternateloginurl;
279     if (strpos($SESSION->wantsurl, $loginurl) === 0) {
280         //we do not want to return to alternate url
281         $SESSION->wantsurl = NULL;
282     }
284     if ($errorcode) {
285         if (strpos($loginurl, '?') === false) {
286             $loginurl .= '?';
287         } else {
288             $loginurl .= '&';
289         }
290         $loginurl .= 'errorcode='.$errorcode;
291     }
293     redirect($loginurl);
296 // make sure we really are on the https page when https login required
297 $PAGE->verify_https_required();
299 /// Generate the login page with forms
301 if (!isset($frm) or !is_object($frm)) {
302     $frm = new stdClass();
305 if (empty($frm->username) && $authsequence[0] != 'shibboleth') {  // See bug 5184
306     if (!empty($_GET["username"])) {
307         $frm->username = clean_param($_GET["username"], PARAM_RAW); // we do not want data from _POST here
308     } else {
309         $frm->username = get_moodle_cookie();
310     }
312     $frm->password = "";
315 if (!empty($frm->username)) {
316     $focus = "password";
317 } else {
318     $focus = "username";
321 if (!empty($CFG->registerauth) or is_enabled_auth('none') or !empty($CFG->auth_instructions)) {
322     $show_instructions = true;
323 } else {
324     $show_instructions = false;
327 $potentialidps = array();
328 foreach($authsequence as $authname) {
329     $authplugin = get_auth_plugin($authname);
330     $potentialidps = array_merge($potentialidps, $authplugin->loginpage_idp_list($SESSION->wantsurl));
333 $PAGE->set_title("$site->fullname: $loginsite");
334 $PAGE->set_heading("$site->fullname");
336 echo $OUTPUT->header();
338 if (isloggedin() and !isguestuser()) {
339     // prevent logging when already logged in, we do not want them to relogin by accident because sesskey would be changed
340     echo $OUTPUT->box_start();
341     $logout = new single_button(new moodle_url($CFG->httpswwwroot.'/login/logout.php', array('sesskey'=>sesskey(),'loginpage'=>1)), get_string('logout'), 'post');
342     $continue = new single_button(new moodle_url($CFG->httpswwwroot.'/login/index.php', array('cancel'=>1)), get_string('cancel'), 'get');
343     echo $OUTPUT->confirm(get_string('alreadyloggedin', 'error', fullname($USER)), $logout, $continue);
344     echo $OUTPUT->box_end();
345 } else {
346     include("index_form.html");
347     if ($errormsg) {
348         $PAGE->requires->js_init_call('M.util.focus_login_error', null, true);
349     } else if (!empty($CFG->loginpageautofocus)) {
350         //focus username or password
351         $PAGE->requires->js_init_call('M.util.focus_login_form', null, true);
352     }
355 echo $OUTPUT->footer();