这几天一直在搞OAuth2.0的东西,写SDK啥的,为了更加深入的了解服务端的OAuth验证机制,就自己动手搭了个php下OAuth的环境,并且将它移植到了自己比较熟的tp框架里。

废话不多说,开动。

其实网上是有OAuth2.0的php版本的。

你可以在http://code.google.com/p/oauth2-php/ 找到源代码,上面实现了PDO和MongoDB的数据模式。这里我也是基于这些代码在TP中进行整合的。

好,这里我们可以把下载下来的包解压,把Lib下的OAuth.inc改名为OAuth2.class.php后放到tp核心包下的目录下:

/Extend/Library/ORG/OAuth/OAuth2.class.php

接下来我们要继承这个类;

在这个目录下新建一个ThinkOAuth2.class.php文件:

<?php

/**

 * @category ORG

 * @package ORG

 * @author Leyteris

 * @version 2012.3.16

 */

// OAUTH2_DB_DSN  数据库连接DSN

// OAUTH2_CODES_TABLE 服务器表名称

// OAUTH2_CLIENTS_TABLE 客户端表名称

// OAUTH2_TOKEN_TABLE 验证码表名称

import("ORG.OAuth.OAuth2");

class ThinkOAuth2 extends OAuth2 {

	private $db;

	private $table;

	/**

	 * 构造

	 */

	public function __construct() {

		parent::__construct();

		$this -> db = Db::getInstance(C('OAUTH2_DB_DSN'));

		$this -> table = array(

			'auth_codes'=>C('OAUTH2_CODES_TABLE'),

			'clients'=>C('OAUTH2_CLIENTS_TABLE'),

			'tokens'=>C('OAUTH2_TOKEN_TABLE')

		);

	}

	/**

	 * 析构

	 */

	function __destruct() {

		$this->db = NULL; // Release db connection

	}

	private function handleException($e) {

		echo "Database error: " . $e->getMessage();

		exit;

	}

	/**

	 *

	 * 增加client

	 * @param string $client_id

	 * @param string $client_secret

	 * @param string $redirect_uri

	 */

	public function addClient($client_id, $client_secret, $redirect_uri) {

		$time = time();

		$sql = "INSERT INTO {$this -> table['clients']} ".

			"(client_id, client_secret, redirect_uri, create_time) VALUES ("{$client_id}", "{$client_secret}", "{$redirect_uri}","{$time}")";

		$this -> db -> execute($sql);

	}

	/**

	 * Implements OAuth2::checkClientCredentials()

	 * @see OAuth2::checkClientCredentials()

	 */

	protected function checkClientCredentials($client_id, $client_secret = NULL) {

		$sql = "SELECT client_secret FROM {$this -> table['clients']} ".

			"WHERE client_id = "{$client_id}"";

		$result = $this -> db -> query($sql);

		if ($client_secret === NULL) {

			return $result !== FALSE;

		}

		//Log::write("checkClientCredentials : ".$result);

		//Log::write("checkClientCredentials : ".$result[0]);

		//Log::write("checkClientCredentials : ".$result[0]["client_secret"]);

		return $result[0]["client_secret"] == $client_secret;

	}

	/**

	 * Implements OAuth2::getRedirectUri().

	 * @see OAuth2::getRedirectUri()

	 */

	protected function getRedirectUri($client_id) {

		$sql = "SELECT redirect_uri FROM {$this -> table['clients']} ".

			"WHERE client_id = "{$client_id}"";

		$result = $this -> db -> query($sql);

		if ($result === FALSE) {

			return FALSE;

		}

		//Log::write("getRedirectUri : ".$result);

		//Log::write("getRedirectUri : ".$result[0]);

		//Log::write("getRedirectUri : ".$result[0]["redirect_uri"]);

		return isset($result[0]["redirect_uri"]) && $result[0]["redirect_uri"] ? $result[0]["redirect_uri"] : NULL;

	}

	/**

	 * Implements OAuth2::getAccessToken().

	 * @see OAuth2::getAccessToken()

	 */

	protected function getAccessToken($access_token) {

		$sql = "SELECT client_id, expires, scope FROM {$this -> table['tokens']} ".

			"WHERE access_token = "{$access_token}"";

		$result = $this -> db -> query($sql);

		//Log::write("getAccessToken : ".$result);

		//Log::write("getAccessToken : ".$result[0]);

		return $result !== FALSE ? $result : NULL;

	}

	/**

	 * Implements OAuth2::setAccessToken().

	 * @see OAuth2::setAccessToken()

	 */

	protected function setAccessToken($access_token, $client_id, $expires, $scope = NULL) {

		$sql = "INSERT INTO {$this -> table['tokens']} ".

			"(access_token, client_id, expires, scope) ".

			"VALUES ("{$access_token}", "{$client_id}", "{$expires}", "{$scope}")";

		$this -> db -> execute($sql);

	}

	/**

	 * Overrides OAuth2::getSupportedGrantTypes().

	 * @see OAuth2::getSupportedGrantTypes()

	 */

	protected function getSupportedGrantTypes() {

		return array(

			OAUTH2_GRANT_TYPE_AUTH_CODE

		);

	}

	/**

	 * Overrides OAuth2::getAuthCode().

	 * @see OAuth2::getAuthCode()

	 */

	protected function getAuthCode($code) {

		$sql = "SELECT code, client_id, redirect_uri, expires, scope ".

			"FROM {$this -> table['auth_codes']} WHERE code = "{$code}"";

		$result = $this -> db -> query($sql);

		//Log::write("getAuthcode : ".$result);

		//Log::write("getAuthcode : ".$result[0]);

		//Log::write("getAuthcode : ".$result[0]["code"]);

		return $result !== FALSE ? $result[0] : NULL;

	}

	/**

	 * Overrides OAuth2::setAuthCode().

	 * @see OAuth2::setAuthCode()

	 */

	protected function setAuthCode($code, $client_id, $redirect_uri, $expires, $scope = NULL) {

		$time = time();

		$sql = "INSERT INTO {$this -> table['auth_codes']} ".

			"(code, client_id, redirect_uri, expires, scope) ".

			"VALUES ("${code}", "${client_id}", "${redirect_uri}", "${expires}", "${scope}")";

		$result = $this -> db -> execute($sql);

  }

  /**

   * Overrides OAuth2::checkUserCredentials().

   * @see OAuth2::checkUserCredentials()

   */

  protected function checkUserCredentials($client_id, $username, $password){

  	return TRUE;

  }

}

在这里我们需要创建数据库:

SQL代码:
CREATE TABLE `oauth_client` (

  `id` bigint(20) NOT NULL auto_increment,

  `client_id` varchar(32) NOT NULL,

  `client_secret` varchar(32) NOT NULL,

  `redirect_uri` varchar(200) NOT NULL,

  `create_time` timestamp NOT NULL DEFAULT NOW(), 

  PRIMARY KEY  (`id`)

) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

CREATE TABLE `oauth_code` (

  `id` bigint(20) NOT NULL auto_increment,

  `client_id` varchar(32) NOT NULL,

  `user_id` varchar(32) NOT NULL,

  `code` varchar(40) NOT NULL,

  `redirect_uri` varchar(200) NOT NULL,

  `expires` int(11) NOT NULL,

  `scope` varchar(250) default NULL,

  PRIMARY KEY  (`id`)

) ENGINE=MyISAM DEFAULT CHARSET=utf8;

CREATE TABLE `oauth_token` (

  `id` bigint(20) NOT NULL auto_increment,

  `client_id` varchar(32) NOT NULL,

  `user_id` varchar(32) NOT NULL,

  `access_token` varchar(40) NOT NULL,

  `refresh_token` varchar(40) NOT NULL,

  `expires` int(11) NOT NULL,

  `scope` varchar(200) default NULL,

  PRIMARY KEY  (`id`)

) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

上面的数据库表名可以自己随便定;但是要在config.php配置表名:

'OAUTH2_CODES_TABLE'=>'oauth_code',

'OAUTH2_CLIENTS_TABLE'=>'oauth_client',

'OAUTH2_TOKEN_TABLE'=>'oauth_token',

如果OAuth的服务器不是当前服务器,那就要指定下DSN地址了:

'OAUTH2_DB_DSN'=>'mysql://root:mima@l:3306/database'

好了,大致的核心库代码就是如此。接下来要使用它

我们创建一个OAuth的Action负责OAuth2的一些验证(OauthAction.class.php)

import("ORG.OAuth.ThinkOAuth2");

class OauthAction extends Action {

	private $oauth = NULL;

	function _initialize(){

		header("Content-Type: application/json");

    	<span style="white-space: pre;">	</span>header("Cache-Control: no-store");

		$this -> oauth = new ThinkOAuth2();

    }

	public function index(){

        header("Content-Type:application/json; charset=utf-8");

		$this -> ajaxReturn(null, 'oauth-server-start', 1, 'json');

    }

	public function access_token() {

		$this -> oauth -> grantAccessToken();

	}

	//权限验证

	public function authorize() {

		if ($_POST) {

			$this -> oauth -> finishClientAuthorization($_POST["accept"] == "Yep", $_POST);

	    	return;

		}

		///表单准备

		$auth_params = $this -> oauth -> getAuthorizeParams();

		$this -> assign("params", $auth_params);

		$this->display();

	}

	public function addclient() {

		if ($_POST && isset($_POST["client_id"]) &&

		 isset($_POST["client_secret"]) &&

		 	isset($_POST["redirect_uri"])) {

			$this -> oauth -> addClient($_POST["client_id"], $_POST["client_secret"], $_POST["redirect_uri"]);

			return;

		}

		$this->display();

	}

}

这里我们创建了一个私有的oauth对象并在初始化的时候去init它。

以上的代码在password那个部分没有做验证,第三种模式需要把ThinkOAuth类中的checkUserCredentials方法进行重写。

继续我们写一个受限资源代码。我们这里没有用AOP进行拦截,所以我准备直接用一个基类来模拟拦截。

import("ORG.OAuth.ThinkOAuth2");

class BaseAction extends Action {

	protected $oauth = NULL;

	function _initialize(){

		$this -> oauth = new ThinkOAuth2();

    }

    public function index(){

        if(!$this -> oauth -> verifyAccessToken()){

        	$this -> ajaxReturn(null, 'no,no,no', 0, 'json');

        	exit();

        }

		$this -> ajaxReturn(null, 'oauth-server', 1, 'json');

    }

}

接下来直接用一个UserAction来继承它达到受限的目的,如下:

class UserAction extends BaseAction {

    public function index(){

		if(!$this -> oauth -> verifyAccessToken()){

        	$this -> ajaxReturn(null, 'no,no,no', 0, 'json');

        }

		$this -> ajaxReturn(null, 'oauth-server', 1, 'json');

    }

}

最后说明一点,为什么要把user_id耦合 进OAuth的表呢?因为我们有时候需要从access_token返查user_id,上面的表就能解决这个问题,但其实还有一种方式是在对于 access_token生成的时候自动包含user_id再进行加密,在解码的时候从access_token直接取出user_id就可以了。这里关 于user_id和密码验证的都没有去实现,需要后期继承ThinkOAuth2类或者修改checkUserCredentials方法才能实现的。 另外这套东西用在REST模式下我认为更好!

PHP搭建OAuth2.0的更多相关文章

  1. Microsoft.Owin.Security.OAuth搭建OAuth2.0授权服务端

    Microsoft.Owin.Security.OAuth搭建OAuth2.0授权服务端 目录 前言 OAuth2.0简介 授权模式 (SimpleSSO示例) 使用Microsoft.Owin.Se ...

  2. 【PHP】基于ThinkPHP框架搭建OAuth2.0服务

    [PHP]基于ThinkPHP框架搭建OAuth2.0服务 http://leyteris.iteye.com/blog/1483403

  3. 使用DotNetOpenAuth搭建OAuth2.0授权框架

    标题还是一如既往的难取. 我认为对于一个普遍问题,必有对应的一个简洁优美的解决方案.当然这也许只是我的一厢情愿,因为根据宇宙法则,所有事物总归趋于混沌,而OAuth协议就是混沌中的产物,不管是1.0. ...

  4. Owin中间件搭建OAuth2.0认证授权服务体会

    继两篇转载的Owin搭建OAuth 2.0的文章,使用Owin中间件搭建OAuth2.0认证授权服务器和理解OAuth 2.0之后,我想把最近整理的资料做一下总结. 前两篇主要是介绍概念和一个基本的D ...

  5. 使用Owin中间件搭建OAuth2.0认证授权服务器

    前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验.至于为何需要OAuth2.0.为何是Owin.什么是Owin等问题,不再赘述.我假定读者是使用Asp.Net,并需要搭建OA ...

  6. DotNetOpenAuth搭建OAuth2.0

    使用DotNetOpenAuth搭建OAuth2.0授权框架 标题还是一如既往的难取. 我认为对于一个普遍问题,必有对应的一个简洁优美的解决方案.当然这也许只是我的一厢情愿,因为根据宇宙法则,所有事物 ...

  7. [2014-11-11]使用Owin中间件搭建OAuth2.0认证授权服务器

    前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验.至于为何需要OAuth2.0.为何是Owin.什么是Owin等问题,不再赘述.我假定读者是使用Asp.Net,并需要搭建OA ...

  8. C#搭建Oauth2.0认证流程以及代码示例

    我认为对于一个普遍问题,必有对应的一个简洁优美的解决方案.当然这也许只是我的一厢情愿,因为根据宇宙法则,所有事物总归趋于混沌,而OAuth协议就是混沌中的产物,不管是1...0a还是2.,单看版本号就 ...

  9. Spring Cloud 微服务中搭建 OAuth2.0 认证授权服务

    在使用 Spring Cloud 体系来构建微服务的过程中,用户请求是通过网关(ZUUL 或 Spring APIGateway)以 HTTP 协议来传输信息,API 网关将自己注册为 Eureka ...

  10. SimpleSSO:使用Microsoft.Owin.Security.OAuth搭建OAuth2.0授权服务端

    目录 前言 OAuth2.0简介 授权模式 (SimpleSSO示例) 使用Microsoft.Owin.Security.SimpleSSO模拟OpenID认证 通过authorization co ...

随机推荐

  1. 由底层和逻辑说开去--c++之引用的深入剖析

    在学c++的时候 我遇到的第一个问题就是这个引用,引用是什么东西,我的c++启蒙教科书是c++ primer plus,这本书上说的是:引用是已定义变量的别名,可以使用这个引用来表示这个变量:每当看到 ...

  2. EXTJS 4.2 资料 控件之tabpanel 静态生成tabpanel

    //**************页面主体开始***************** var tabpanel = Ext.createWidget('tabpanel', { activeTab: 0, ...

  3. Hibernate从入门到精通(二)Hibernate实例演示

    上篇Hibernate从入门到精通(一)JDBC简介,我们主要对JDBC进行了简单介绍和使用说明,这次我们做一个Hibernate简单实例,通过这个实例对比Hibernate和JDBC,了解Hiber ...

  4. win7下以兼容模式安装oracle10g

    在win7系统装Oracle时经常会遇到一个“Oracle 10g 出现程序异常终止,发生内部错误!请将以下文件提供给 Oracle技术部门“未知”“未知”“未知””这样一个错误,百度了下,才知道原来 ...

  5. Qt播放mp3

    .pro项目文件中加入 QT += phonon 包含头    #include <phonon/Phonon> 播放文件    Phonon::MediaObject *media = ...

  6. ExtJs4.2 知识点

    知识点1:修改密码类 参考:点击这里 Ext.apply(Ext.form.VTypes, { password: function (val, field) { if (field.initialP ...

  7. 企业应用的Web程序的安全性

    提起安全性这个话题,大家恐怕依稀还记得Sony的PSP账户信息泄露的事故造成的重大损失.但是又隐隐觉得这事儿离我很远,无需过多考虑.也有的人会想,我们做的是企业内部系统所以不必太在意.但是,Web程序 ...

  8. SQL的表连接

    每天给自己扫盲,让自己变得越博学. 继续学习<程序员的SQL金典>,这回我们来看看表连接相关的内容.表连接的相关知识在实际的项目开发当中,使用非常广. 所谓表连接,就是通过关联多张表,从而 ...

  9. win8 优化笔记

    win8可以关掉的服务: 以下是小编搜集的可以安全更改为手动启动的服务(按名称排序): Application Experience(启动时为程序处理应用程序兼容性缓存请求) ·Computer Br ...

  10. A JSTL primer, Part 2: Getting down to the core

    In the initial article of this series, you got your first look at JSTL. We described the use of its  ...