package es.juntadeandalucia.agua.conector.credenciales.sp.bo.impl;

import es.juntadeandalucia.agua.conector.credenciales.sp.bo.interfaz.ISamlSPBO;
import es.juntadeandalucia.agua.conector.credenciales.sp.exception.SamlSPConfiguracionException;
import es.juntadeandalucia.agua.conector.credenciales.sp.exception.SamlSPMensajeException;
import es.juntadeandalucia.agua.conector.credenciales.sp.exception.SamlSPValidacionException;
import es.juntadeandalucia.agua.conector.credenciales.sp.exception.SamlSPVigenciaException;
import es.juntadeandalucia.agua.conector.credenciales.sp.vo.CredencialesSPVO;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.io.StringReader;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.PublicKey;
import java.security.cert.Certificate;
import java.security.cert.CertificateException;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import org.apache.commons.lang.StringUtils;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.joda.time.DateTime;
import org.opensaml.Configuration;
import org.opensaml.DefaultBootstrap;
import org.opensaml.saml2.core.Assertion;
import org.opensaml.saml2.core.Attribute;
import org.opensaml.saml2.core.AttributeStatement;
import org.opensaml.saml2.core.AuthnStatement;
import org.opensaml.saml2.core.Conditions;
import org.opensaml.saml2.core.Response;
import org.opensaml.xml.ConfigurationException;
import org.opensaml.xml.XMLObject;
import org.opensaml.xml.io.UnmarshallingException;
import org.opensaml.xml.parse.BasicParserPool;
import org.opensaml.xml.parse.XMLParserException;
import org.opensaml.xml.schema.XSString;
import org.opensaml.xml.security.x509.BasicX509Credential;
import org.opensaml.xml.signature.Signature;
import org.opensaml.xml.signature.SignatureValidator;
import org.opensaml.xml.util.Base64;
import org.opensaml.xml.validation.ValidationException;
import org.w3c.dom.Element;

/* loaded from: input_file:es/juntadeandalucia/agua/conector/credenciales/sp/bo/impl/SamlSPBOImpl.class */
public class SamlSPBOImpl implements ISamlSPBO {
    private static final long serialVersionUID = 3126923675663773443L;
    private final Log log = LogFactory.getLog(SamlSPBOImpl.class);
    public static final String URI_ALMACEN_CERTIFICADOS = "uri.almacen.certificados";
    public static final String PASSWORD_ALMACEN_CERTIFICADOS = "password.almacen.certificados";
    public static final String NOMBRE_CLAVE_PUBLICA = "nombre.clave.publica";
    private String uriAlmacenCertificados;
    private String passwordAlmacenCertificados;
    private String nombreClavePublica;
    private PublicKey clavePublica;
    private static boolean openSamlInicializado = false;

    public void inicializar() throws SamlSPConfiguracionException {
        if (!isConfiguradoCorrecto()) {
            this.log.error("Alguno de los valores de la configuración es nulo.");
            throw new SamlSPConfiguracionException("Alguno de los valores de la configuración es nulo.");
        }
        obtenerClavePublica();
        inicializarOpenSaml();
    }

    private void obtenerClavePublica() throws SamlSPConfiguracionException {
        try {
            try {
                try {
                    try {
                        this.log.debug("Obteniendo el almacen de certificados de " + this.uriAlmacenCertificados);
                        FileInputStream fileInputStream = new FileInputStream(this.uriAlmacenCertificados);
                        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
                        keyStore.load(fileInputStream, this.passwordAlmacenCertificados.toCharArray());
                        this.log.debug("Obteniendo la clave publica " + this.nombreClavePublica + " del almacen de certificados");
                        Certificate certificate = keyStore.getCertificate(this.nombreClavePublica);
                        if (certificate == null) {
                            this.log.error("Error obteniendo el KeyStore, no se ha podido obtener la clave pública.");
                            throw new SamlSPConfiguracionException("Error obteniendo el KeyStore, no se ha podido obtener la clave pública.");
                        }
                        this.clavePublica = certificate.getPublicKey();
                        closeInputStreamAlmacen(fileInputStream);
                    } catch (FileNotFoundException e) {
                        this.log.error("Error leyendo el almacén de certificados.", e);
                        throw new SamlSPConfiguracionException("Error leyendo el almacén de certificados.", e);
                    }
                } catch (IOException e2) {
                    this.log.error("Error cargando el almacén de certificados.", e2);
                    throw new SamlSPConfiguracionException("Error cargando el almacén de certificados.", e2);
                } catch (KeyStoreException e3) {
                    this.log.error("Error obteniendo el KeyStore", e3);
                    throw new SamlSPConfiguracionException("Error obteniendo el KeyStore", e3);
                }
            } catch (NoSuchAlgorithmException e4) {
                this.log.error("Error cargando el almacén de certificados.", e4);
                throw new SamlSPConfiguracionException("Error cargando el almacén de certificados.", e4);
            } catch (CertificateException e5) {
                this.log.error("Error cargando el almacén de certificados.", e5);
                throw new SamlSPConfiguracionException("Error cargando el almacén de certificados.", e5);
            }
        } catch (Throwable th) {
            closeInputStreamAlmacen(null);
            throw th;
        }
    }

    private void closeInputStreamAlmacen(FileInputStream fileInputStream) throws SamlSPConfiguracionException {
        if (fileInputStream != null) {
            try {
                fileInputStream.close();
            } catch (IOException e) {
                this.log.warn("Error al cerrar el inputStream del almacen de certificados", e);
                throw new SamlSPConfiguracionException("Error al cerrar el inputStream del almacen de certificados", e);
            }
        }
    }

    private void inicializarOpenSaml() throws SamlSPConfiguracionException {
        if (openSamlInicializado) {
            return;
        }
        this.log.info("Inicializando OpenSaml...");
        try {
            DefaultBootstrap.bootstrap();
            openSamlInicializado = true;
            this.log.info("OpenSaml inicializado");
        } catch (ConfigurationException e) {
            this.log.error("Error inicializando OpenSaml", e);
            throw new SamlSPConfiguracionException("Error inicializando OpenSaml", e);
        }
    }

    @Override // es.juntadeandalucia.agua.conector.credenciales.sp.bo.interfaz.ISamlSPBO
    public CredencialesSPVO procesarMensajeSaml(String str) throws SamlSPMensajeException, SamlSPValidacionException, SamlSPVigenciaException {
        this.log.debug("Procesando mensaje SAML...");
        if (StringUtils.isEmpty(str)) {
            this.log.warn("Mensaje vacío.");
            throw new SamlSPMensajeException("Mensaje vacío.");
        }
        String str2 = new String(Base64.decode(str));
        this.log.debug("Mensaje SAML recibido:");
        this.log.debug(str2);
        Response obtenerResponse = obtenerResponse(str2);
        this.log.debug("Estructura del mensaje correcta.");
        validarFirmaCredencial(obtenerResponse);
        this.log.debug("Firma validada correctamente.");
        validarVigenciaMensaje(obtenerResponse);
        this.log.debug("Vigencia del mensaje validada correctamente.");
        CredencialesSPVO obtenerCredenciales = obtenerCredenciales(obtenerResponse);
        if (this.log.isDebugEnabled()) {
            this.log.debug("Credencial obtenida: " + obtenerCredenciales);
        }
        return obtenerCredenciales;
    }

    private Response obtenerResponse(String str) throws SamlSPMensajeException {
        BasicParserPool basicParserPool = new BasicParserPool();
        basicParserPool.setNamespaceAware(true);
        try {
            Element documentElement = basicParserPool.parse(new StringReader(str)).getDocumentElement();
            return Configuration.getUnmarshallerFactory().getUnmarshaller(documentElement).unmarshall(documentElement);
        } catch (UnmarshallingException e) {
            this.log.warn("Error interpretando el mensaje SAML", e);
            throw new SamlSPMensajeException("Error interpretando el mensaje SAML", e);
        } catch (XMLParserException e2) {
            this.log.warn("Error parseando el mensaje SAML", e2);
            throw new SamlSPMensajeException("Error parseando el mensaje SAML", e2);
        }
    }

    private void validarFirmaCredencial(Response response) throws SamlSPValidacionException {
        Signature signature = response.getSignature();
        BasicX509Credential basicX509Credential = new BasicX509Credential();
        basicX509Credential.setPublicKey(this.clavePublica);
        try {
            new SignatureValidator(basicX509Credential).validate(signature);
        } catch (ValidationException e) {
            this.log.warn("La firma del mensaje no es válida", e);
            throw new SamlSPValidacionException("La firma del mensaje no es válida", e);
        }
    }

    private void validarVigenciaMensaje(Response response) throws SamlSPVigenciaException {
        Conditions conditions = ((Assertion) response.getAssertions().get(0)).getConditions();
        DateTime notBefore = conditions.getNotBefore();
        DateTime notOnOrAfter = conditions.getNotOnOrAfter();
        if (notBefore.isBeforeNow() && notOnOrAfter.isAfterNow()) {
            return;
        }
        StringBuilder sb = new StringBuilder("El mensaje SAML se ha procesado fuera de su plazo de validez: ");
        sb.append("notBefore: ").append(notBefore);
        sb.append("\tnotOnOrAfter: ").append(notOnOrAfter);
        throw new SamlSPVigenciaException(sb.toString());
    }

    private CredencialesSPVO obtenerCredenciales(Response response) throws SamlSPMensajeException {
        CredencialesSPVO credencialesSPVO = new CredencialesSPVO();
        List assertions = response.getAssertions();
        if (assertions == null || assertions.isEmpty()) {
            this.log.warn("El mensaje SAML no incluye ninguna assertion");
            throw new SamlSPMensajeException("El mensaje SAML no incluye ninguna assertion");
        }
        Assertion assertion = (Assertion) assertions.get(0);
        credencialesSPVO.setUrlIdP(obtenerUrlIdP(assertion));
        credencialesSPVO.setIdUsuario(obtenerIdUsuario(assertion));
        credencialesSPVO.setTipoAutenticacion(obtenerTipoAutenticacion(assertion));
        List attributeStatements = assertion.getAttributeStatements();
        if (!attributeStatements.isEmpty()) {
            credencialesSPVO.setAtributos(obtenerAtributos((AttributeStatement) attributeStatements.get(0)));
            if (attributeStatements.size() > 1) {
                credencialesSPVO.setDatosCertificado(obtenerAtributos((AttributeStatement) attributeStatements.get(1)));
            }
        }
        return credencialesSPVO;
    }

    private String obtenerUrlIdP(Assertion assertion) {
        return assertion.getIssuer().getValue();
    }

    private String obtenerIdUsuario(Assertion assertion) {
        return assertion.getSubject().getNameID().getValue();
    }

    private String obtenerTipoAutenticacion(Assertion assertion) throws SamlSPMensajeException {
        List authnStatements = assertion.getAuthnStatements();
        if (authnStatements == null || authnStatements.isEmpty()) {
            throw new SamlSPMensajeException("La assertion no contiene authnStatements");
        }
        return ((AuthnStatement) authnStatements.get(0)).getAuthnContext().getAuthnContextClassRef().getAuthnContextClassRef();
    }

    private Map<String, String> obtenerAtributos(AttributeStatement attributeStatement) throws SamlSPMensajeException {
        List<Attribute> attributes = attributeStatement.getAttributes();
        HashMap hashMap = new HashMap();
        for (Attribute attribute : attributes) {
            String name = attribute.getName();
            List attributeValues = attribute.getAttributeValues();
            if (attributeValues == null || attributeValues.isEmpty()) {
                StringBuilder sb = new StringBuilder("Error en el formato del mensaje. Atributo '");
                sb.append(name);
                sb.append("' sin valor");
                this.log.warn(sb);
                throw new SamlSPMensajeException(sb.toString());
            }
            XSString xSString = (XMLObject) attributeValues.get(0);
            if (!(xSString instanceof XSString)) {
                StringBuilder sb2 = new StringBuilder("Error en el formato del mensaje. El tipo del atributo '");
                sb2.append(name);
                sb2.append("' no es un XSString.");
                this.log.warn(sb2);
                throw new SamlSPMensajeException(sb2.toString());
            }
            hashMap.put(name, xSString.getValue());
        }
        return hashMap;
    }

    @Override // es.juntadeandalucia.agua.conector.credenciales.sp.bo.interfaz.ISamlSPBO
    public boolean isConfigurado() {
        return isConfiguradoCorrecto() && openSamlInicializado;
    }

    private boolean isConfiguradoCorrecto() {
        return StringUtils.isNotEmpty(this.uriAlmacenCertificados) && this.passwordAlmacenCertificados != null && StringUtils.isNotEmpty(this.nombreClavePublica);
    }

    public void setUriAlmacenCertificados(String str) {
        this.uriAlmacenCertificados = str;
    }

    public void setPasswordAlmacenCertificados(String str) {
        this.passwordAlmacenCertificados = str;
    }

    public void setNombreClavePublica(String str) {
        this.nombreClavePublica = str;
    }
}
