0x01.About

最近在搭建Oauth2.0第三方接入开放平台&＃xff0c;主要是使用Github开源项目服务模块https://github.com/bshaffer/oauth2-server-php和CodeIgniter结合。

一般来说做开放平台主要包括&＃xff1a;Oauth2.0认证平台、Resource资源API平台、Open开发者注册平台&＃xff0c;以及API说明等。

Oauth2.0测试平台已经搭建好&＃xff0c;请访问 http://oauth2.homeway.me/oauth/test/

---

0x02.About Oauth2.0

OAuth 2.0授权前&＃xff0c;第三方应用必须到平台上进行注册&＃xff0c;注册过程中可能需要填写的内容有&＃xff1a;应用类型&＃xff0c;授权成功回调地址&＃xff0c;以及其他平台需要的资料&＃xff08;应用名称、网址、介绍、LOGO图片等&＃xff09;。

OAuth 2.0标准主要围绕三类应用&＃xff1a;Web应用、基于客户端的应用、原生应用。

应用在Open开发者平台注册完成会得到一个应用client_id和一个client_secret&＃xff0c;一般叫App Key&＃xff0c;密钥叫App Secret&＃xff0c;这两样东西作用跟用户名密码是一样的。

OAuth 2.0 RFC 中提到的授权方式有四种&＃xff1a;授权码&＃xff08;Authorization Code&＃xff09;、隐式授权&＃xff08;Implicit Grant&＃xff09;、用户口令&＃xff08;Resource Owner Password Credentials&＃xff09;、应用口令&＃xff08;Client Credentials&＃xff09;。

这四种方式最终的目的都是要获得Access Token&＃xff0c;然后通过请求Resource服务器获取资源。

---

0x03.Grant_type

说说每种授权方式使用到的地方&＃xff0c;或授权的方式。

Authorization Code

Authorization Code

授权码方式在很多地方都有用到&＃xff0c;微博登陆&＃xff0c;微信登陆等都是。

认证过程主要是跳转到Oauth2.0平台&＃xff0c;认证后跳转回第三方应用平台&＃xff0c;并通过callback的url中携带code、state、token_type等信息&＃xff0c;然后第三方平台通过code获取到access_token&＃xff0c;进而调用开放API获取到资源。

第三方请求过程必须附带&＃xff0c;response_type&＃xff08;回调类型&＃xff1a;code&＃xff0c;token&＃xff09;,client_id&＃xff08;开发者app key&＃xff09;,redirect_uri&＃xff08;回调链接&＃xff09;&＃xff0c;state&＃xff08;防止csrf&＃xff0c;authorization认证跳转后原样返回&＃xff09;。

例如&＃xff1a;http://localhost:8085/oauth2/authorize/index?redirect_uri&＃61;http://homeway.me&response_type&＃61;code&client_id&＃61;testclient&state&＃61;ae5f8c93dc51d856d6536aec528c31c6f6450458

测试例子&＃xff1a;http://brentertainment.com/oauth2/

第一步&＃xff1a;跳转到Oauth2.0服务器&＃xff1a;

认证过程中会请求scope权限表&＃xff0c;用户可以拒绝相应权限。

跳转到Oauth2.0服务器

第二步&＃xff1a;用户确认请求的权限&＃xff0c;回调得到code&＃xff1a;

用户确认请求的权限

第三步&＃xff1a;第三方平台通过code得到access_token&＃xff0c;然后通过API调用Resource服务器资源。

这个过程需要发送client_id&＃xff0c;client_secret&＃xff08;App Secret&＃xff09;&＃xff0c;grant_type&＃xff08;’authorization_code’&＃xff09;&＃xff0c;code&＃xff0c;redirect_uri给oauth2服务器获取access_token。

例如&＃xff1a;http://brentertainment.com/oauth2/client/request_token/authorization_code?code&＃61;bab6b7dee32f629397acbb16a4d8e50c6c3d424d

Implicit Grant

隐式授权流程&＃xff08;Implicit Grant&＃xff09;其实就是Authorization Code的一个简化版本&＃xff0c;不是回调code&＃xff0c;而是直接回调access_token给第三方开发者&＃xff0c;response_type变为token&＃xff0c;其他和Authorization Code一样。

例如&＃xff1a;http://brentertainment.com/oauth2/lockdin/authorize?response_type&＃61;token&client_id&＃61;demoapp&redirect_uri&＃61;http%3A%2F%2Fbrentertainment.com%2Foauth2%2Fclient%2Freceive_implicit_token&state&＃61;377edd18bd3070e4317889b0b3371c16

跳转后就得到了&＃xff0c;如下链接&＃xff1a;http://brentertainment.com/oauth2/client/receive_implicit_token#access_token&＃61;a845c2c81bc57613bbc5dee1fec173a3fbd0f474&expires_in&＃61;3600&token_type&＃61;Bearer&state&＃61;377edd18bd3070e4317889b0b3371c16

Client Credentials

应用授权&＃xff08;Client Credentials&＃xff09;主要用于第三方应用直接获取一些公开的数据&＃xff0c;不需要用户跳转认证&＃xff0c;也不需要获取用户的openid&＃xff0c;因为都是一些公共的资源。

Client Credentials

我的请求数据为&＃xff1a;{client_id: "testclient", client_secret: "testpass", grant_type: "client_credentials", scope: "userinfo cloud file node"}

Oauth2给我的回调数据&＃xff1a;{"access_token":"417206d0e162d743338c04da9f8eb72f99daff6b","expires_in":3600,"token_type":"Bearer","scope":"userinfo cloud file node"}

可以看到有了access_token&＃xff0c;然后我就可以用access_token去找Resource服务器要资源了&＃xff0c;这里限定了scope权限表&＃xff0c;表的权限在open平台注册的时候就确定下来了。

Resource Owner Password Credentials

用户口令&＃xff08;Resource Owner Password Credentials&＃xff09;适合内部应用调用使用&＃xff0c;比如公司有两个平台&＃xff0c;A和B&＃xff0c;那么我就可以在Oauth2下通过Password Credentials模式实现A应用与B应用之间通信&＃xff0c;还可以开放内部接口。

Client Credentials

请求的数据格式是&＃xff1a;
{grant_type: "password username:"user", password: "pass",client_id: ""testclient", client_secret: "testpass", scope: "userinfo cloud file node}

回调数据比Client Credentials多了一个refresh_token:

{"access_token":"8a478275f8d2d5ac767f94ef0684a1fc2883eb24", "expires_in":3600, "token_type":"Bearer", "scope":"userinfo cloud file node", "refresh_token":"69a5e7b995ed4376bd6dd58380bfe09b51137dcb"}

那么当access_token过期后&＃xff0c;就可以通过refresh_token再次激活一个新的access_token&＃xff0c;黑魔法&＃xff0c;自己给自己开后门。

激活请求发送的数据为&＃xff1a;
{grant_type: "refresh_token", username:"user", password: "pass", client_id: ""testclient", client_secret: "testpass", scope: "userinfo cloud file node}

返回还是一个新的access_token数据。

0x04.CodeIgniter与Oauth2.0

四种授权方式都说过了&＃xff0c;那么就开始搭建基于CodeIgniter的Oauth2.0平台了。

基础环境搭建

1.下载CI框架&＃xff1a;$wget https://codeload.github.com/bcit-ci/CodeIgniter/zip/3.0.0

2.解压 $unzip CodeIgniter-3.0.0.zip

3.进入library目录 $cd CodeIgniter-3.0.0/application/libraries

4.获取oauth2-php-server: git clone https://github.com/bshaffer/oauth2-server-php && mv -f oauth2-server-php oauth2

5.通过composer安装 oauth2-server-php &＃xff1a;cd oauth2 && composer install

如果国内composer安装慢的话&＃xff0c;我打了一个包&＃xff0c;可以再这里下载到&＃xff1a;oauth2-server-php.zip

Oauth2.0数据库

好了&＃xff0c;ci和oauth2都处理好了&＃xff0c;接下来导入下数据库的sql文件。

oauth2.0平台支持多种数据库&＃xff0c;可以在oauth2/src/Oauth2/Storage/里面看到&＃xff0c;有mongodb、mysql、redis等。

这里就选简单的mysql吧&＃xff0c;数据库主要包含oauth_access_tokens、oauth_authorization_codes、oauth_clients、oauth_jwt、oauth_refresh_tokens、oauth_scopes、oauth_users几个表。

oauth_users是Password Credentials认证的时候用的表&＃xff0c;oauth_scopes存放权限表&＃xff0c;oauth_refresh_tokens是Password Credentials认证的时候的refresh_token表&＃xff0c;oauth_clients存放开发者注册的信息表。

sql文件可以在这里下载&＃xff1a;http://homeway.me/code/oauth2.sql

Server服务

接下来在CodeIgniter-3.0.0/application/libraries/oauth2里面新建一个server.php&＃xff0c;
用于对oauth2内调用与对外ci服务的接口。

创建一个Authorization Code服务

创建一个Password Credentials服务

创建一个Client Credentials服务

创建一个refresh_token服务

0x04.About Package

篇幅太大了&＃xff0c;我觉定&＃xff0c;把代码打包下来&＃xff0c;好了。^.().^

http://homeway.me/code/build-oauth2-under-codeigniter.zip

下面是打包好的测试平台你也可以通过http://oauth2.homeway.me/oauth/test/来进入测试平台。

平台web访问路径为&＃xff1a;/oauth/test/、/oauth2/RefreshToken,/oauth2/resource,/oauth2/authorize/token,/oauth2/PasswordCredentials,/oauth2/ClientCredentials&＃xff0c;你也可以从相应的源码中读到这些地址。

build-oauth2-under-codeigniter

---

参考&＃xff1a;

1.http://tools.ietf.org/html/rfc6749
2.http://brentertainment.com/oauth2/
3.oauth2-server-php-docs
4.新浪oauth2授权机制说明
5.腾讯OAuth2.0简介
6.腾讯API调试平台