基于PHP构建OAuth 2.0 服务端认证平台 - Endv - 博客园

安宇雨 - 随手采集
2018-10-09 15:48:19
后端开发
PHP oAuth

OAuth2.0 认证服务

安装

你可以在github上下载OAuth Server PHP，也可以用下列命令下载，不过内容都是一样的

mkdir my-oauth2-walkthrough
cd my-oauth2-walkthrough
git clone https://github.com/bshaffer/oauth2-server-php.git -b master

下载后放在根目录，因为这只是个测试！

在这之后配置数据库

Database: `oauth2db`

-
-\- Database: `oauth2db` 3 --
-\- --------------------------------------------------------
-
- 表的结构 `oauth_access_tokens` 9 --

CREATE TABLE IF NOT EXISTS `oauth_access_tokens` (
  `access_token` varchar(40) NOT NULL,
  `client_id` varchar(80) NOT NULL,
  `user_id` varchar(255) DEFAULT NULL,
  `expires` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `scope` varchar(2000) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

\-\- --------------------------------------------------------

--
-- 表的结构 `oauth_authorization_codes` 23 --

CREATE TABLE IF NOT EXISTS `oauth_authorization_codes` (
  `authorization_code` varchar(40) NOT NULL,
  `client_id` varchar(80) NOT NULL,
  `user_id` varchar(255) DEFAULT NULL,
  `redirect_uri` varchar(2000) DEFAULT NULL,
  `expires` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `scope` varchar(2000) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

\-\- --------------------------------------------------------

--
-- 表的结构 `oauth_clients` 38 --

CREATE TABLE IF NOT EXISTS `oauth_clients` (
  `client_id` varchar(80) NOT NULL,
  `client_secret` varchar(80) NOT NULL,
  `redirect_uri` varchar(2000) NOT NULL,
  `grant_types` varchar(80) DEFAULT NULL,
  `scope` varchar(100) DEFAULT NULL,
  `user_id` varchar(80) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

--
-- 转存表中的数据 `oauth_clients` 51 --

INSERT INTO `oauth_clients` (`client_id`, `client_secret`, `redirect_uri`, `grant_types`, `scope`, `user_id`) VALUES 
('testclient', 'testpass', 'https://user.endv.', 'authorization_code', '', '');

\-\- --------------------------------------------------------

--
-- 表的结构 `oauth_jwt` 60 --

CREATE TABLE IF NOT EXISTS `oauth_jwt` (
 `client_id` varchar(80) NOT NULL,
  `subject` varchar(80) DEFAULT NULL,
  `public_key` varchar(2000) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

\-\- --------------------------------------------------------

--
-- 表的结构 `oauth_refresh_tokens` 72 --

CREATE TABLE IF NOT EXISTS `oauth_refresh_tokens` (
  `refresh_token` varchar(40) NOT NULL,
  `client_id` varchar(80) NOT NULL,
  `user_id` varchar(255) DEFAULT NULL,
  `expires` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `scope` varchar(2000) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

\-\- --------------------------------------------------------

--
-- 表的结构 `oauth_scopes` 86 --

CREATE TABLE IF NOT EXISTS `oauth_scopes` (
  `scope` text,
  `is_default` tinyint(1) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

\-\- --------------------------------------------------------

--
-- 表的结构 `oauth_users` 97 --

CREATE TABLE IF NOT EXISTS `oauth_users` (
  `username` varchar(255) NOT NULL,
  `password` varchar(2000) DEFAULT NULL,
  `first_name` varchar(255) DEFAULT NULL,
  `last_name` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

我们来建立一个server.php文件来配置server，这个文件可以被所有的终端来调用。


<?php
// 配置
$dsn= 'mysql:dbname=**test**;host=localhost';
$username = '**test**';
$password = '**test**';
 
// 错误报告（这毕竟是一个演示！）
ini_set('display_errors',1);
error_reporting(E_ALL);
 
// 自动加载
require_once('oauth2-server-php/src/OAuth2/Autoloader.php');
OAuth2\\Autoloader::register();
$storage = new OAuth2\\Storage\\Pdo(array('dsn' => $dsn, 'username' => $username, 'password' => $password));

// 通过存储对象或对象数组存储的oauth2服务器类
$server = new OAuth2\\Server($storage);
// 授权码 有效期只有30秒
$server->addGrantType(new OAuth2\\GrantType\\AuthorizationCode($storage));
// 客户端证书 
$server->addGrantType(new OAuth2\\GrantType\\ClientCredentials($storage));
// 用户凭据
$server->addGrantType(new OAuth2\\GrantType\\UserCredentials($storage));
// 刷新令牌  启用这个会报错，原因未知 
$server->addGrantType(new OAuth2\\GrantType\\RefreshToken($refreshStorage));

记得配置数据库的用户名和密码 test

Token控制器

下面，我们将建立一个Token控制器，这个控制器URI将会返回OAuth2的Token给客户端

<?php 
// include our OAuth2 Server object
require_once __DIR__.'/server.php'; 
$server->handleTokenRequest(OAuth2\\Request::createFromGlobals())->send();

测试Token控制器

需要先创建一条记录，来注册一个新的应用 (上面脚本中已插入，需要先删除！)

INSERT INTO \`oauth\_clients\` (\`client\_id\`, \`client\_secret\`, \`redirect\_uri\`, \`grant_types\`, \`scope\`, \`user_id\`) VALUES
('testclient', 'testpass', 'https://user.endv.cn/', 'authorization_code', '', '');

然后用命令行调用

curl -u testclient:testpass https://user.endv.cn/token.php --data "grant\_type=authorization\_code&code=f8ef50221f7817f3e01d2d6c31a33f3c40db76a5"

这里的URL只是示例，实地操作要确定能找到这个token.php

如果运行正常，则显示

{"access\_token":"84c66d296308aad20aa5e065743d2fe30426b046","expires\_in":3600,"token_type":"Bearer","scope":null,"refresh_token":"d49cd4d7d875065888fc457c7c714cab9fcf9d69"}

资源控制器的建立和测试

你创建了Token，你需要在API中测试它：

resource.php

<?php 

//资源控制器的建立和测试 
require_once __DIR__.'/server.php'; 

if (!$server->verifyResourceRequest(OAuth2\\Request::createFromGlobals())) { 
    $server->getResponse()->send(); die();
} 

$token = $server->getAccessTokenData(OAuth2\\Request::createFromGlobals()); 

echo "User ID associated with this token is {$token\['user_id'\]}"; 
echo json_encode(array('success' => true, 'message' => '您访问了我的API!'));

然后运行下面的命令，记得将YOUR_TOKEN替换成刚才得到的token，还有确保URL的正确

curl https://user.endv.cn/resource.php --data 'access\_token=YOUR\_TOKEN'

如果没出问题，则会得到下面的结果

{"success":true,"message":"You accessed my APIs!"}

认证控制器的创建和测试

验证控制器是OAuth2的杀手锏，它允许你的平台帮助用户验证第三方应用
它不像第一个例子中直接返回一个Access Token，这里稍微复杂一点:

然后在浏览器中打开这个URL

https://user.endv.cn/authorize.php?response\_type=code&client\_id=testclient&state=xyz

你将会看到一个表单，当你选择yes的时候会弹出你所获得的Authorization Code

现在你可以用这个Authorization Code来刚才建立的token.php获得TOKEN，命令如下

curl -u testclient:testpass https://user.endv.cn/token.php -d 'grant\_type=authorization\_code&code=YOUR_CODE'

就像刚才一样，你获得了一个TOKEN

{"access\_token":"6f05ad622a3d32a5a81aee5d73a5826adb8cbf63","expires\_in":3600,"token_type":"bearer","scope":null}

请在30秒内完成这个操作，因为Authorization Code的有效期只有30秒

用Access Token联系本地用户

当你认证了一个用户并且分派了一个Token之后，你可能想知道彼时到底是哪个用户使用了这个Token
你可以使用handleAuthorizeRequest的可选参数user_id来完成，修改你的authorize.php文件

$userid = 1234; // A value on your server that identifies the user
$server->handleAuthorizeRequest($request, $response, $is_authorized, $userid)

这样一来，用户ID就伴随Token一起存进数据库了

当Token被客户端使用的时候，你就知道是哪个用户了，修改 resource.php 来完成任务

测试：点我测试

测试到此结束，后续客户端的建立。

Original url: Access

Created at: 2018-10-09 15:48:18

Category: default

Tags: none

未标明原创文章均为采集，版权归作者所有，转载无需和我联系，请注明原出处，南摩阿彌陀佛，知识，不只知道，要得到

上一篇：使用 OAuth2-Server-php 搭建 OAuth2 Server - 午时的海 - 博客园
下一篇： prism - Awesomes

请先后发表评论

最新评论
总共0条评论

加入组织

1. 手Q扫左侧二维码

2. 搜Q群：861085013

3. 点击

友情链接

Laravel China 简书知乎博客园 CSDN博客开源中国 Go Further Ryan是菜鸟 | LNMP技术栈笔记云栖社区-阿里云 Netflix技术博客 Techie Delight Linkedin技术博客 Dropbox技术博客 Facebook技术博客淘宝中间件团队美团技术博客 360技术博客古巷博客 - 一个专注于分享的不正常博客软件测试知识传播 - 测试窝有赞技术团队阮一峰语雀静觅丨崔庆才的个人博客软件测试从业者综合能力提升 - isTester IBM Java 开发使用开放 Java 生态系统开发现代应用程序 pengdai 一个强大的博主 HTML5资源教程 | 分享HTML5开发资源和开发教程蘑菇博客 - 专注于技术分享的博客平台个人博客-leapMie 流星007 CSDN博客 - 舍其小伙伴稀土掘金 Go 技术论坛 | Golang / Go 语言中国知识社区