server/middlewares/activitypub.ts

   1 import { NextFunction, Request, Response } from 'express'
   2 import { ActivityPubSignature } from '../../shared'
   3 import { logger } from '../helpers/logger'
   4 import { isHTTPSignatureVerified, isJsonLDSignatureVerified, parseHTTPSignature } from '../helpers/peertube-crypto'
   5 import { ACCEPT_HEADERS, ACTIVITY_PUB, HTTP_SIGNATURE } from '../initializers/constants'
   6 import { getOrCreateActorAndServerAndModel } from '../lib/activitypub'
   7 import { loadActorUrlOrGetFromWebfinger } from '../helpers/webfinger'
   8
   9 async function checkSignature (req: Request, res: Response, next: NextFunction) {
  10   try {
  11     const httpSignatureChecked = await checkHttpSignature(req, res)
  12     if (httpSignatureChecked !== true) return
  13
  14     const actor = res.locals.signature.actor
  15
  16     // Forwarded activity
  17     const bodyActor = req.body.actor
  18     const bodyActorId = bodyActor && bodyActor.id ? bodyActor.id : bodyActor
  19     if (bodyActorId && bodyActorId !== actor.url) {
  20       const jsonLDSignatureChecked = await checkJsonLDSignature(req, res)
  21       if (jsonLDSignatureChecked !== true) return
  22     }
  23
  24     return next()
  25   } catch (err) {
  26     logger.warn('Error in ActivityPub signature checker.', err)
  27     return res.sendStatus(403)
  28   }
  29 }
  30
  31 function executeIfActivityPub (req: Request, res: Response, next: NextFunction) {
  32   const accepted = req.accepts(ACCEPT_HEADERS)
  33   if (accepted === false || ACTIVITY_PUB.POTENTIAL_ACCEPT_HEADERS.indexOf(accepted) === -1) {
  34     // Bypass this route
  35     return next('route')
  36   }
  37
  38   logger.debug('ActivityPub request for %s.', req.url)
  39
  40   return next()
  41 }
  42
  43 // ---------------------------------------------------------------------------
  44
  45 export {
  46   checkSignature,
  47   executeIfActivityPub,
  48   checkHttpSignature
  49 }
  50
  51 // ---------------------------------------------------------------------------
  52
  53 async function checkHttpSignature (req: Request, res: Response) {
  54   // FIXME: compatibility with http-signature < v1.3
  55   const sig = req.headers[HTTP_SIGNATURE.HEADER_NAME] as string
  56   if (sig && sig.startsWith('Signature ') === true) req.headers[HTTP_SIGNATURE.HEADER_NAME] = sig.replace(/^Signature /, '')
  57
  58   const parsed = parseHTTPSignature(req, HTTP_SIGNATURE.CLOCK_SKEW_SECONDS)
  59
  60   const keyId = parsed.keyId
  61   if (!keyId) {
  62     res.sendStatus(403)
  63     return false
  64   }
  65
  66   logger.debug('Checking HTTP signature of actor %s...', keyId)
  67
  68   let [ actorUrl ] = keyId.split('#')
  69   if (actorUrl.startsWith('acct:')) {
  70     actorUrl = await loadActorUrlOrGetFromWebfinger(actorUrl.replace(/^acct:/, ''))
  71   }
  72
  73   const actor = await getOrCreateActorAndServerAndModel(actorUrl)
  74
  75   const verified = isHTTPSignatureVerified(parsed, actor)
  76   if (verified !== true) {
  77     logger.warn('Signature from %s is invalid', actorUrl, { parsed })
  78
  79     res.sendStatus(403)
  80     return false
  81   }
  82
  83   res.locals.signature = { actor }
  84
  85   return true
  86 }
  87
  88 async function checkJsonLDSignature (req: Request, res: Response) {
  89   const signatureObject: ActivityPubSignature = req.body.signature
  90
  91   if (!signatureObject || !signatureObject.creator) {
  92     res.sendStatus(403)
  93     return false
  94   }
  95
  96   const [ creator ] = signatureObject.creator.split('#')
  97
  98   logger.debug('Checking JsonLD signature of actor %s...', creator)
  99
 100   const actor = await getOrCreateActorAndServerAndModel(creator)
 101   const verified = await isJsonLDSignatureVerified(actor, req.body)
 102
 103   if (verified !== true) {
 104     logger.warn('Signature not verified.', req.body)
 105
 106     res.sendStatus(403)
 107     return false
 108   }
 109
 110   res.locals.signature = { actor }
 111
 112   return true
 113 }