package ru.infotech24.apk23main.security.oauth;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.lowagie.text.html.Markup;
import java.io.IOException;
import java.net.URISyntaxException;
import java.nio.charset.StandardCharsets;
import java.text.DateFormat;
import java.text.SimpleDateFormat;
import java.time.LocalDate;
import java.time.format.DateTimeFormatter;
import java.time.format.DateTimeParseException;
import java.util.ArrayList;
import java.util.Collection;
import java.util.Date;
import java.util.List;
import java.util.Map;
import java.util.Objects;
import java.util.UUID;
import org.apache.http.HttpEntity;
import org.apache.http.client.config.RequestConfig;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.client.methods.HttpUriRequest;
import org.apache.http.client.utils.URIBuilder;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClientBuilder;
import org.apache.http.message.BasicNameValuePair;
import org.jfree.chart.urls.StandardXYURLGenerator;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.ApplicationEvent;
import org.springframework.context.ApplicationEventPublisher;
import org.springframework.messaging.MessageHeaders;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Service;
import ru.infotech24.apk23main.auxServices.TransactionalWrapper;
import ru.infotech24.apk23main.domain.docs.Document;
import ru.infotech24.apk23main.domain.docs.DocumentSubType;
import ru.infotech24.apk23main.domain.institution.Institution;
import ru.infotech24.apk23main.domain.institution.InstitutionEmployee;
import ru.infotech24.apk23main.logic.institution.dao.InstitutionDao;
import ru.infotech24.apk23main.logic.institution.dao.InstitutionEmployeeDao;
import ru.infotech24.apk23main.logic.person.bl.eventListeners.events.InstitutionPersonEnsureDocumentEvent;
import ru.infotech24.apk23main.security.domain.SecurityRole;
import ru.infotech24.apk23main.security.oauth.infrastructure.TokenAuthentication;
import ru.infotech24.apk23main.security.user.UserService;
import ru.infotech24.common.exceptions.BusinessLogicException;
import ru.infotech24.common.helpers.DateUtils;
import ru.infotech24.common.helpers.ObjectUtils;
import ru.infotech24.common.helpers.StringUtils;

@Service
/* loaded from: input_file:BOOT-INF/classes/ru/infotech24/apk23main/security/oauth/EsiaService.class */
public class EsiaService {
    private static final String userScope = "openid snils fullname birthdate usr_org inn";
    private static final String userPersonScope = "openid snils fullname birthdate usr_org inn id_doc email mobile gender";

    @Value("${esia.client-id}")
    private String clientId;

    @Value("${esia.timeout-ms}")
    private Integer timeoutMs;

    @Value("${esia.url}")
    private String esiaUrl;

    @Value("${esia.auth-path}")
    private String esiaAuthPath;

    @Value("${esia.token-exchange-path}")
    private String esiaTokenPath;

    @Value("${esia.debug-user-id}")
    private Integer debugUserId;
    private SignatureService signatureService;
    private EsiaRestClient restClient;
    private AuthenticationProvider authenticationProvider;
    private final ApplicationEventPublisher applicationEventPublisher;
    private final TransactionalWrapper transactionalWrapper;
    private final UserService userService;
    private InstitutionEmployeeDao institutionEmployeeDao;
    private InstitutionDao institutionDao;
    private static final DateFormat timestampFormat = new SimpleDateFormat("yyyy.MM.dd HH:mm:ss Z");
    private static final Logger logger = LoggerFactory.getLogger((Class<?>) EsiaService.class);

    @Autowired
    public EsiaService(SignatureService signatureService, EsiaRestClient esiaRestClient, AuthenticationProvider authenticationProvider, ApplicationEventPublisher applicationEventPublisher, TransactionalWrapper transactionalWrapper, UserService userService, InstitutionEmployeeDao institutionEmployeeDao, InstitutionDao institutionDao) {
        this.signatureService = signatureService;
        this.restClient = esiaRestClient;
        this.authenticationProvider = authenticationProvider;
        this.transactionalWrapper = transactionalWrapper;
        this.userService = userService;
        this.institutionEmployeeDao = institutionEmployeeDao;
        this.applicationEventPublisher = applicationEventPublisher;
        this.institutionDao = institutionDao;
    }

    public EsiaPrincipal authenticate(String str, Integer num) {
        Institution byIdStrong = num != null ? this.institutionDao.byIdStrong(num) : null;
        return (byIdStrong == null || !Objects.equals(byIdStrong.getInstitutionTypeId(), 4)) ? authenticate(str, num, false) : authenticate(str, num, true);
    }

    public EsiaPrincipal authenticate(String str, Integer num, Boolean bool) throws EsiaAuthException {
        EsiaPrincipal loadUserInfo = this.debugUserId != null ? null : loadUserInfo(str, num, bool);
        Authentication authenticate = this.authenticationProvider.authenticate(loadUserInfo != null ? new TokenAuthentication(loadUserInfo, str) : null);
        SecurityContextHolder.getContext().setAuthentication(authenticate);
        EsiaPrincipal esiaPrincipal = (EsiaPrincipal) authenticate.getPrincipal();
        if (esiaPrincipal != null && esiaPrincipal.getIDoc() != null) {
            try {
                this.transactionalWrapper.doWithNestedTransaction(() -> {
                    this.userService.runWithSystemUser(() -> {
                        this.applicationEventPublisher.publishEvent((ApplicationEvent) new InstitutionPersonEnsureDocumentEvent(this, esiaPrincipal.getIDoc(), esiaPrincipal.getPhone(), esiaPrincipal.getEmail(), Integer.valueOf(esiaPrincipal.getId())));
                    });
                });
            } catch (Exception e) {
                logger.error("Ошибка при попытке обновить документы гражданина", (Throwable) e);
            }
        }
        return (EsiaPrincipal) authenticate.getPrincipal();
    }

    public void refreshAuthentication() {
        SecurityContextHolder.getContext().setAuthentication(this.authenticationProvider.authenticate(SecurityContextHolder.getContext().getAuthentication()));
    }

    public void impersonate(int i) {
        TokenAuthentication tokenAuthentication = (TokenAuthentication) SecurityContextHolder.getContext().getAuthentication();
        if (tokenAuthentication == null || !tokenAuthentication.isAuthenticated() || tokenAuthentication.getPrincipal() == null) {
            throw new EsiaAuthException("Пользователь не аутентифицирован");
        }
        EsiaPrincipal esiaPrincipal = (EsiaPrincipal) tokenAuthentication.getPrincipal();
        InstitutionEmployee byUserId = this.institutionEmployeeDao.byUserId(Integer.valueOf(esiaPrincipal.getId()));
        if (byUserId.getAsoiRoles() == null || !byUserId.getAsoiRoles().contains(SecurityRole.APP_ROLE_ADMINISTRATOR)) {
            throw new EsiaAuthException("Отсутствуют права на имперсонализацию. Доступ отклонён.");
        }
        InstitutionEmployee byUserId2 = this.institutionEmployeeDao.byUserId(Integer.valueOf(i));
        if (byUserId2 == null) {
            throw new RuntimeException("Целевой пользователь не найден по ид " + i);
        }
        esiaPrincipal.setImpersonateAsUserId(Integer.valueOf(i));
        tokenAuthentication.getUserRoleIds().clear();
        tokenAuthentication.getUserRoleIds().addAll((Collection) ObjectUtils.isNull(byUserId2.getAsoiRoles(), new ArrayList()));
    }

    public void deimpersonate() {
        TokenAuthentication tokenAuthentication = (TokenAuthentication) SecurityContextHolder.getContext().getAuthentication();
        if (tokenAuthentication == null || !tokenAuthentication.isAuthenticated() || tokenAuthentication.getPrincipal() == null) {
            throw new EsiaAuthException("Пользователь не аутентифицирован");
        }
        EsiaPrincipal esiaPrincipal = (EsiaPrincipal) tokenAuthentication.getPrincipal();
        InstitutionEmployee byUserId = this.institutionEmployeeDao.byUserId(Integer.valueOf(esiaPrincipal.getId()));
        esiaPrincipal.setImpersonateAsUserId(null);
        tokenAuthentication.getUserRoleIds().clear();
        tokenAuthentication.getUserRoleIds().addAll((Collection) ObjectUtils.isNull(byUserId.getAsoiRoles(), new ArrayList()));
    }

    private String getAuthCodeUrl(String str, String str2, String str3, boolean z) throws EsiaAuthException {
        String format = timestampFormat.format(new Date());
        try {
            String sign = this.signatureService.sign(str3 + format + this.clientId + str);
            ArrayList arrayList = new ArrayList();
            arrayList.add(new BasicNameValuePair("client_id", this.clientId));
            arrayList.add(new BasicNameValuePair("client_secret", sign));
            arrayList.add(new BasicNameValuePair("redirect_uri", str2));
            arrayList.add(new BasicNameValuePair("scope", str3));
            arrayList.add(new BasicNameValuePair("response_type", "code"));
            arrayList.add(new BasicNameValuePair("state", str));
            arrayList.add(new BasicNameValuePair(MessageHeaders.TIMESTAMP, format));
            arrayList.add(new BasicNameValuePair("access_type", "offline"));
            if (z) {
                arrayList.add(new BasicNameValuePair(Markup.CSS_KEY_DISPLAY, "popup"));
            }
            try {
                return new URIBuilder(this.esiaUrl + this.esiaAuthPath).addParameters(arrayList).build().toString();
            } catch (URISyntaxException e) {
                throw new EsiaAuthException("Не удалось сконструировать URL", e);
            }
        } catch (Exception e2) {
            throw new EsiaAuthException("Ошибка при создании подписи", e2);
        }
    }

    public String getLoginUrl(String str, String str2) throws EsiaAuthException {
        return getAuthCodeUrl(str, str2, userScope, false);
    }

    public String getPersonLoginUrl(String str, String str2, boolean z) throws EsiaAuthException {
        return getAuthCodeUrl(str, str2, userPersonScope, z);
    }

    public String getLogoutUrl(String str) throws URISyntaxException {
        return new URIBuilder(this.esiaUrl + "/idp/ext/Logout").addParameter("client_id", this.clientId).addParameter("redirect_uri", str).build().toString();
    }

    private TokenExchangeResult getToken(EsiaGrantType esiaGrantType, String str, String str2, String str3) throws Exception {
        if (str == null || str2 == null || str3 == null) {
            throw new EsiaAuthException("Отсутствуют обязательные параметры");
        }
        String str4 = this.esiaUrl + this.esiaTokenPath;
        CloseableHttpClient build = HttpClientBuilder.create().setDefaultRequestConfig(RequestConfig.custom().setConnectTimeout(this.timeoutMs.intValue()).setConnectionRequestTimeout(this.timeoutMs.intValue()).setSocketTimeout(this.timeoutMs.intValue()).build()).build();
        HttpPost httpPost = new HttpPost(str4);
        String format = timestampFormat.format(new Date());
        String uuid = UUID.randomUUID().toString();
        try {
            String sign = this.signatureService.sign(str3 + format + this.clientId + uuid);
            ArrayList arrayList = new ArrayList();
            arrayList.add(new BasicNameValuePair("client_id", this.clientId));
            arrayList.add(new BasicNameValuePair("client_secret", sign));
            arrayList.add(new BasicNameValuePair("state", uuid));
            arrayList.add(new BasicNameValuePair("redirect_uri", str2));
            arrayList.add(new BasicNameValuePair("scope", str3));
            arrayList.add(new BasicNameValuePair(MessageHeaders.TIMESTAMP, format));
            arrayList.add(new BasicNameValuePair("token_type", "Bearer"));
            switch (esiaGrantType) {
                case AuthorizationCode:
                    arrayList.add(new BasicNameValuePair("code", str));
                    arrayList.add(new BasicNameValuePair("grant_type", "authorization_code"));
                    break;
                case RefreshToken:
                    arrayList.add(new BasicNameValuePair("refresh_token", str));
                    arrayList.add(new BasicNameValuePair("grant_type", "refresh_token"));
                    break;
            }
            httpPost.setEntity(new UrlEncodedFormEntity(arrayList, StandardCharsets.UTF_8));
            try {
                HttpEntity entity = build.execute((HttpUriRequest) httpPost).getEntity();
                if (entity == null) {
                    throw new Exception("Не удалось получить токен из ЕСИА");
                }
                TokenExchangeResult tokenExchangeResult = (TokenExchangeResult) new ObjectMapper().readValue(entity.getContent(), TokenExchangeResult.class);
                if (tokenExchangeResult.getErrorDescription() != null || tokenExchangeResult.getError() != null) {
                    throw new BusinessLogicException(String.format("Есть ошибка с ЕСИА: [%s] %s. %s", tokenExchangeResult.getError(), getEsiaErrorDescription(tokenExchangeResult), tokenExchangeResult.getErrorDescription()));
                }
                if (uuid.equals(tokenExchangeResult.getState())) {
                    return tokenExchangeResult;
                }
                throw new Exception("Несовпадение отправленного и полученного state");
            } catch (IOException e) {
                throw new Exception("Не удалось получить токен из ЕСИА. Проблемы с соединением, " + e.getMessage(), e);
            }
        } catch (Exception e2) {
            throw new EsiaAuthException("Ошибка при создании подписи", e2);
        }
    }

    public TokenExchangeResult getToken(EsiaGrantType esiaGrantType, String str, String str2) throws Exception {
        return getToken(esiaGrantType, str, str2, userScope);
    }

    public TokenExchangeResult getTokenForPerson(EsiaGrantType esiaGrantType, String str, String str2) throws Exception {
        return getToken(esiaGrantType, str, str2, userPersonScope);
    }

    private String getObjValue(Map<String, Object> map, String str) {
        if (map.get(str) != null) {
            return map.get(str).toString();
        }
        return null;
    }

    private EsiaPrincipal loadUserInfo(String str, Integer num, Boolean bool) throws EsiaAuthException {
        EsiaAccessToken parseAccessToken = this.restClient.parseAccessToken(str);
        Map<String, Object> userInfo = this.restClient.getUserInfo(parseAccessToken);
        List<String> ogrnList = this.restClient.getOgrnList(parseAccessToken);
        String obj = userInfo.get("rIdDoc") != null ? userInfo.get("rIdDoc").toString() : null;
        Document document = null;
        String str2 = null;
        String str3 = null;
        Boolean valueOf = userInfo.get("gender") != null ? Boolean.valueOf(userInfo.get("gender").toString().equals("M")) : null;
        if (Objects.equals(bool, true)) {
            try {
                document = getIdentityDocument(this.restClient.getUserIdentityDoc(parseAccessToken, obj), userInfo, valueOf);
                List<Map<String, Object>> contactList = this.restClient.getContactList(parseAccessToken);
                str2 = (String) contactList.stream().filter(map -> {
                    return ObjectUtils.equalsSome(getObjValue(map, "type"), "MBT", "PHN");
                }).map(map2 -> {
                    return getObjValue(map2, "value");
                }).findFirst().orElse(null);
                str3 = (String) contactList.stream().filter(map3 -> {
                    return ObjectUtils.equalsSome(getObjValue(map3, "type"), "EML");
                }).map(map4 -> {
                    return getObjValue(map4, "value");
                }).findFirst().orElse(null);
            } catch (Exception e) {
                logger.error("Ошибка при попытке получить информацию о гражданине по расширенному скоупу", (Throwable) e);
            }
        }
        if (userInfo == null) {
            throw new EsiaAuthException("ЕСИА вернул пустой ответ при получении информации о ФИО пользователя. Аутентификация невозможна.");
        }
        if (userInfo.get("birthDate") == null) {
            throw new EsiaAuthException("Дата рождения не указана в профиле ЕСИА или не получена в ответе от ЕСИА. Аутентификация невозможна.");
        }
        try {
            return new EsiaPrincipal(userInfo.get("lastName").toString(), userInfo.get("firstName").toString(), userInfo.get("middleName") != null ? userInfo.get("middleName").toString() : null, LocalDate.parse(userInfo.get("birthDate").toString(), DateTimeFormatter.ofPattern("dd.MM.yyyy")), StringUtils.strToSnils(userInfo.getOrDefault("snils", "").toString()), StringUtils.strToInnfl(userInfo.getOrDefault("inn", "").toString()), ogrnList, null, num, str2, str3, valueOf, document);
        } catch (DateTimeParseException e2) {
            throw new EsiaAuthException("Недопустимый формат даты рождения: " + userInfo.get("birthDate"), e2);
        }
    }

    private Document getIdentityDocument(Map<String, Object> map, Map<String, Object> map2, Boolean bool) {
        try {
            Long valueOf = map.get("number") != null ? Long.valueOf(map.get("number").toString()) : null;
            String objValue = getObjValue(map, StandardXYURLGenerator.DEFAULT_SERIES_PARAMETER);
            String objValue2 = getObjValue(map, "issueId");
            String objValue3 = getObjValue(map, "issueDate");
            String objValue4 = getObjValue(map2, "birthDate");
            if (Objects.equals(getObjValue(map, "type"), "RF_PASSPORT")) {
                return Document.builder().docSourceId(11).docTypeId(DocumentSubType.DOC_SUBTYPE_IDENTITY_PASSPORT.getTypeId()).docSubtypeId(DocumentSubType.DOC_SUBTYPE_IDENTITY_PASSPORT.getSubTypeId()).t1LastName(getObjValue(map2, "lastName")).t1FirstName(getObjValue(map2, "firstName")).t1MiddleName(getObjValue(map2, "middleName")).t1BirthDate(DateUtils.parseRuDate(objValue4)).extraBool1(bool).docNumber(valueOf).docSerial(objValue).docDate(DateUtils.parseRuDate(objValue3)).t1OrgGiven(getObjValue(map, "issuedBy")).t5Amount(StringUtils.stringToPassportDepartmentCode(objValue2)).build();
            }
            return null;
        } catch (Exception e) {
            return null;
        }
    }

    private String getEsiaErrorDescription(TokenExchangeResult tokenExchangeResult) {
        String str = null;
        String error = tokenExchangeResult.getError();
        boolean z = -1;
        switch (error.hashCode()) {
            case -2054838772:
                if (error.equals("server_error")) {
                    z = 4;
                    break;
                }
                break;
            case -1307356897:
                if (error.equals("temporarily_unavailable")) {
                    z = 5;
                    break;
                }
                break;
            case -847806252:
                if (error.equals("invalid_grant")) {
                    z = 8;
                    break;
                }
                break;
            case -837157364:
                if (error.equals("invalid_scope")) {
                    z = 3;
                    break;
                }
                break;
            case -632018157:
                if (error.equals("invalid_client")) {
                    z = 7;
                    break;
                }
                break;
            case -444618026:
                if (error.equals("access_denied")) {
                    z = true;
                    break;
                }
                break;
            case -332453906:
                if (error.equals("unsupported_response_type")) {
                    z = 6;
                    break;
                }
                break;
            case -190904121:
                if (error.equals("unsupported_grant_type")) {
                    z = 9;
                    break;
                }
                break;
            case 397510421:
                if (error.equals("no_grants")) {
                    z = 10;
                    break;
                }
                break;
            case 1330404726:
                if (error.equals("unauthorized_client")) {
                    z = 2;
                    break;
                }
                break;
            case 2117379143:
                if (error.equals("invalid_request")) {
                    z = false;
                    break;
                }
                break;
        }
        switch (z) {
            case false:
                str = tokenExchangeResult.getErrorDescription().contains("ESIA-007003") ? "ESIA-007003: В запросе отсутствует обязательный параметр, запрос включает в себя неверное значение параметра или включает параметр несколько раз" : tokenExchangeResult.getErrorDescription().contains("ESIA-007014") ? "ESIA-007014: Запрос не содержит обязательного параметра" : "ESIA-007015: Неверное время запроса";
                break;
            case true:
                str = "ESIA-007004: Владелец ресурса или сервис авторизации отклонил запрос";
                break;
            case true:
                str = "ESIA-007005: Система-клиент не имеет права запрашивать получение маркера доступа таким методом";
                break;
            case true:
                str = tokenExchangeResult.getErrorDescription().contains("ESIA-007006") ? "ESIA-007006: Запрошенная область доступа (scope) указана неверно, неизвестно или сформирована некорректно" : "ESIA-007013: Запрос не содержит указания на область доступа (scope)";
                break;
            case true:
                str = "ESIA-007007: Возникла неожиданная ошибка в работе сервиса авторизации, которая привела к невозможности выполнить запрос";
                break;
            case true:
                str = "ESIA-007008: Сервис авторизации в настоящее время не может выполнить запрос из-за большой нагрузки или технических работ на сервере";
                break;
            case true:
                str = "ESIA-007009: Сервис авторизации не поддерживает получение маркера доступа этим методом";
                break;
            case true:
                str = "ESIA-008010: Не удалось произвести аутентификацию системы-клиента";
                break;
            case true:
                str = "ESIA-007011: Авторизационный код или маркер обновления недействителен, просрочен, отозван или не соответствует адресу ресурса, указанному в запросе на авторизацию, или был выдан другой системе-клиенту";
                break;
            case true:
                str = "ESIA-007012: Тип авторизационного кода не поддерживается сервисом авторизации";
                break;
            case true:
                str = "ESIA-007019: Отсутствует разрешение на доступ";
                break;
        }
        return str;
    }
}
