【引用】基于 PHP & MySQL 搭建OAuth Server

最新推荐文章于 2024-02-08 19:59:00 发布
最新推荐文章于 2024-02-08 19:59:00 发布
阅读量537 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hawk140/article/details/52344535
版权
接上一篇《 一步一步搭建 OAuth 认证服务器》的文章,其实也就是介绍了一下 OAuth 的理解和 oauth-php 这个开源的项目,并没有做出一个演示。今天这篇文章就来做一个Demo,我们基于 PHP 来搭建一个 OAuth认证服务器。开始吧!

为了方便理解,可以先看一下在 OAuth 认证过程中的几个关键术语,这也是 RFC5849 中 “1.1. Terminology” 小节的内容。也可以查看其中文版本

想了一下,没有想到好的应用场景,干脆就使用 RFC5849 中的例子吧。这个例子大概的意思是:

1
2
3
4
5
Jane (用户,资源的所有者) 将自己度假的照片 (受保护资源) 上传到了图片分享网站A (服务提供方).
她现在想要在另外一个网站B (Client, 消费方) 在线打印这些照片. 一般情况下, Jane 需要使用自己的用户名和密码登陆网站A.
但是, Jane 并不希望将自己的用户名和密码泄露给网站B. 可是网站B需要访问图片分享网站A的图片并将其打印出来.

首先,我们再虚拟机上面搭建三个虚拟主机。我这里搭建的三个主机是:

1
2
3
4
5
6
7
8
# 服务提供方 Service Provider 服务提供服务器, 提供受保护资源
www.service.com
# 服务提供方 Service Provider OAuth认证服务器,进行请求认证
auth.service.com
# 消费方 Consumer 客户应用服务器, 用来发起认证请求
www.demo.com

配合上面介绍的应用场景,www.service.com 相当于网站A,而 www.demo.com 则相当于网站B.

接下来,我们为网站 A 虚拟一个用户 Jane,并将其用户名和密码以及她的照片保存在 MySQL 数据库中。

先创建一个数据库,名曰:photo, 在其中新建一个表user:

1
2
3
4
5
6
7
8
CREATE DATABASE `photo`;
CREATE TABLE IF NOT EXISTS ` user ` (
`userId` int (11) unsigned NOT NULL AUTO_INCREMENT COMMENT '用户ID' ,
`userName` varchar (20) NOT NULL COMMENT '用户名' ,
` password ` char (32) NOT NULL COMMENT '会员密码' ,
PRIMARY KEY (`userId`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT= '用户信息表' AUTO_INCREMENT=1 ;

用户有了,现在给用户创建一个表,用来存储用户照片。新建一个表“image”:

1
2
3
4
5
6
7
CREATE TABLE IF NOT EXISTS `image` (
`imageId` int (11) unsigned NOT NULL AUTO_INCREMENT COMMENT '图片Id' ,
`userId` int (11) unsigned NOT NULL COMMENT '用户Id' ,
`imagePath` varchar (255) NOT NULL COMMENT '图片路径' ,
PRIMARY KEY (`imageId`),
KEY `userId` (`userId`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT= '图片表' AUTO_INCREMENT=1 ;

数据表有了,现在填充一些数据:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
INSERTINTO`photo`.` user ` (
`userId` ,
`userName` ,
` password `
)
VALUES (
'1' , 'jane' , MD5( '123456' )
);
INSERTINTO`photo`.`image` (
`imageId` ,
`userId` ,
`imagePath`
)
VALUES (
NULL , '1' , 'path/to/jane/image.jpeg'
);

由于 auth.service.com 认证服务器需要提供应用程序认证服务,所以需要创建一个表存储应用程序信息。实际上,还需要一些其他的相关的数据表。

我们这里使用的是 MySQL 数据库,打开浏览器,访问 http://auth.service.com/oauth-php/library/store/mysql/install.php 来进行数据表的安装。事先需要编辑 install.php 进行数据库配置。安装完毕,请将该文件的数据库连接部分重新注释掉。

下面来实现OAUTH服务器端的应用注册功能。

首先在 oauth.service.com 服务器下新建一个 config.inc.php 文件,文件内容如下:

1
2
3
4
5
6
7
8
9
<?php
// 数据库连接信息
$dbOptions = array (
'server' => 'localhost' ,
'username' => 'root' ,
'password' => '123456' ,
'database' => 'photo'
);
?>

该文件的主要作用是保存数据库连接信息。然后继续新建一个 “oauth_register.php” 文件,文件内容如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<?php
// 当前登录用户
$user_id = 1;
// 来自用户表单
$consumer = array (
// 下面两项必填
'requester_name' => 'Fising' ,
'requester_email' => 'Fising@qq.com' ,
// 以下均为可选
'callback_uri' => 'http://www.demo.com/oauth_callback' ,
'application_uri' => 'http://www.demo.com/' ,
'application_title' => 'Online Printer' ,
'application_descr' => 'Online Print Your Photoes' ,
'application_notes' => 'Online Printer' ,
'application_type' => 'website' ,
'application_commercial' => 0
);
include_once 'config.inc.php' ;
include_once 'oauth-php/library/OAuthStore.php' ;
// 注册消费方
$store = OAuthStore::instance( 'MySQL' , $dbOptions );
$key = $store ->updateConsumer( $consumer , $user_id );
// 获取消费方信息
$consumer = $store ->getConsumer( $key , $user_id );
// 消费方注册后得到的 App Key 和 App Secret
$consumer_id = $consumer [ 'id' ];
$consumer_key = $consumer [ 'consumer_key' ];
$consumer_secret = $consumer [ 'consumer_secret' ];
// 输出给消费方
echo 'Your App Key: ' . $consumer_key ;
echo '<br />' ;
echo 'Your App Secret: ' . $consumer_secret ;
?>

这时候,通过浏览器访问:http://auth.service.com 就可以自动注册一个应用(其实就是一个消费方Client)。并且将该应用的 App Key 和 App Secret呈现给你。下面 www.demo.com 站点将使用这2个字符串进行认证。所以现在先把这两个值保存起来备用。

看到的页面应该类似于:

1
2
Your App Key: de94eb65317c0d7a00af1261fc26882c04df0f850
Your App Secret: 7769ae71e703509a92c7f3816a9268af

这样,消费方注册功能就完成了。

接下来,消费方 www.demo.com 就可以使用这个 App Key 和 App Secret,向认证服务器请求未授权的 Request token 了。这一步需要做两件事情:① 消费方 www.demo.com 向 OAuth Server 也就是 auth.service.com 请求未授权的 Request token;② OAuth Server 处理消费方的请求,生成并将未授权的 Request token 返回给消费方;

先来实现第②件任务。

在认证服务器 auth.service.com 的根目录下新建一个文件”request_token.php”, 文件内容是:

1
2
3
4
5
6
7
8
9
10
11
<?php
include_once 'config.inc.php' ;
include_once 'oauth-php/library/OAuthStore.php' ;
include_once 'oauth-php/library/OAuthServer.php' ;
$store = OAuthStore::instance( 'MySQL' , $dbOptions );
$server = new OAuthServer();
$server ->requestToken();
exit ();
?>

现在认证服务器已经可以响应消费方请求“未授权的token”了。

这里要特别注意一点,如果测试的时候,消费方和服务提供方在同一台服务器,就像我现在的情况,三个服务器都在同一个虚拟机里,那么要注意,客户端请求的时候,可能发生找不到主机的问题。为啥?因为服务器找不到虚拟的 auth.service.com 认证服务器。怎么解决呢?

Windows下面,我们可以设置 hosts 主机表文件,使某一域名的指向某一固定IP地址。Linux下面也有类似的主机表文件,它的位置是 /etc/hosts,接下来如何做,这里就不用讲啦。

现在来实现第①件任务。

首先在消费方数据库服务器将认证服务器添加到消费方的 OAuthStore 中。这里的数据库安装方式与服务方相同,不再赘述。

然后,我们再消费方服务器 www.demo.com 的根目录添加一个 “config.inc.php” 文件,保存消费方自己的数据库连接信息。我这里由于使用的是虚拟主机,恰好消费方和认证服务器的数据库连接参数是一样的。实际情况可能不是这样。文件的内容与上面的类似:

1
2
3
4
5
6
7
8
9
<?php
// 数据库连接信息
$dbOptions = array (
'server' => 'localhost' ,
'username' => 'root' ,
'password' => '123456' ,
'database' => 'photo'
);
?>

然后,在消费方服务器根目录继续添加一个文件,add_server.php, 用来向消费方的数据库中存储认证服务器的信息。其实一般的,这个信息可能会直接写在配置文件里,不过,oauth-php提供了更加强大的数据库的存储方案而已。该文件的内容是:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
include_once 'config.inc.php' ;
include_once 'oauth-php/library/OAuthStore.php' ;
$store = OAuthStore::instance( 'MySQL' , $dbOptions );
// 当前用户的ID, 必须为整数
$user_id = 1;
// 服务器描述信息
$server = array (
'consumer_key' => 'de94eb65317c0d7a00af1261fc26882c04df0f850' ,
'consumer_secret' => '7769ae71e703509a92c7f3816a9268af' ,
'server_uri' => 'http://auth.service.com/' ,
'signature_methods' => array ( 'HMAC-SHA1' , 'PLAINTEXT' ),
'request_token_uri' => 'http://auth.service.com/request_token.php' ,
'authorize_uri' => 'http://auth.service.com/authorize.php' ,
'access_token_uri' => 'http://auth.service.com/access_token.php'
);
// 将服务器信息保存在 OAuthStore 中
$consumer_key = $store ->updateServer( $server , $user_id );
?>

这样,通过浏览器访问一下该文件,http://www.demo.com/add_server.php, 服务器的相关信息就会被保存起来了。用于生产环节时,这里可能是一个简单的管理系统,可以用来管理认证服务器列表。注意,上面文件里的 key 和 secret 正是我们之前在认证服务器 http://auth.service.com 注册消费方应用时得到的。

有了认证服务器的相关信息,我们现在可以去获取“未认证的token”了。在 www.demo.com 根目录新建一个文件 index.php:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php
if (isset( $_GET [ 'req' ]) && ( $_GET [ 'req' ] == 1)){
include_once 'config.inc.php' ;
include_once 'oauth-php/library/OAuthStore.php' ;
include_once 'oauth-php/library/OAuthRequester.php' ;
$store = OAuthStore::instance( 'MySQL' , $dbOptions );
// 用户Id, 必须为整型
$user_id = 1;
// 消费者key
$consumer_key = '286cec927c4c5482e75d80759e9fdd8904df10e2f' ;
// 从服务器获取未授权的token
$token = OAuthRequester::requestRequestToken( $consumer_key , $user_id );
var_dump( $token );
die ();
}
else {
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd" >
<html xmlns= "http://www.w3.org/1999/xhtml" >
<head>
<meta http-equiv= "Content-Type" content= "text/html; charset=utf-8" />
<title>测试页面</title>
</head>
<body>
<p>消费放测试页面,点击下面的按钮开始测试</p>
<input type= "button" name= "button" value= "Click Me" id= "RequestBtn" />
<script type= "text/javascript" >
document.getElementById( 'RequestBtn' ).onclick = function (){
window.location = 'index.php?req=1' ;
}
</script>
</body>
</html>
<?php
}
?>

现在,通过浏览器访问 www.demo.com/index.php页面,然后点击页面上的“Click Me”按钮,开始向auth.service.com服务器请求“未授权的token”。如果最后结果显示类似于:

1
array(2) { ["authorize_uri"]=> string(37) "http://auth.service.com/authorize.php" ["token"]=> string(41) "dc8e8df797d9737b0acfe7a8b549005604df5e485" }

那么恭喜你,获取“未授权的token”这一步,已经顺利完成了。

接下来,根据 OAuth 验证的流程,应该是重定向用户浏览器到 auth.service.com 进行 token 授权。

在 auth.demo.com 服务器根目录新建一个文件 authorize.php, 代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
<?php
session_start();
if ( empty ( $_SESSION [ 'authorized' ]))
{
$uri = $_SERVER [ 'REQUEST_URI' ];
header( 'Location: /login.php?goto=' . urlencode( $uri ));
exit ();
}
include_once 'config.inc.php' ;
include_once 'oauth-php/library/OAuthStore.php' ;
include_once 'oauth-php/library/OAuthServer.php' ;
//登陆用户
$user_id = 1;
// 取得 oauth store 和 oauth server 对象
$store = OAuthStore::instance( 'MySQL' , $dbOptions );
$server = new OAuthServer();
try
{
// 检查当前请求中是否包含一个合法的请求token
// 返回一个数组, 包含consumer key, consumer secret, token, token secret 和 token type.
$rs = $server ->authorizeVerify();
if ( $_SERVER [ 'REQUEST_METHOD' ] == 'POST' )
{
// 判断用户是否点击了 "allow" 按钮(或者你可以自定义为其他标识)
$authorized = array_key_exists ( 'allow' , $_POST );
// 设置token的认证状态(已经被认证或者尚未认证)
// 如果存在 oauth_callback 参数, 重定向到客户(消费方)地址
$server ->authorizeFinish( $authorized , $user_id );
// 如果没有 oauth_callback 参数, 显示认证结果
// ** 你的代码 **
}
else
{
echo 'Error' ;
}
}
catch (OAuthException $e )
{
// 请求中没有包含token, 显示一个使用户可以输入token以进行验证的页面
// ** 你的代码 **
}
?>

如果用户未登录,则要求先行登陆才能进行授权操作。

西漂的阿飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器,资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
基于 PHP & MySQL 搭建 OAuth Server
YoungerChen的专栏
09-09 3348
为了方便理解,可以先看一下在 OAuth 认证过程中的几个关键术语,这也是 RFC5849 中 “1.1.  Terminology” 小节的内容。也可以查看其中文版本。 想了一下,没有想到好的应用场景,干脆就使用 RFC5849 中的例子吧。这个例子大概的意思是:
oauth2.0及oauth2-server 库在thinkphp6中的使用
qq_37521420的博客
08-27 2763
1.OAuth2.0 OAuth2.0 定义了四个角色 Client:客户端,第三方应用程序。Resource Owner:资源所有者,授权 Client 访问其帐户的用户。Authorization server:授权服务器,服务商专用于处理用户授权认证的服务器。Resource server:资源服务器,服务商用于存放用户受保护资源的服务器,它可以与授权服务器是同一台服务器,也可以是不同的服务器。 oauth2-server Access token:用于访问受保护资源的令牌。Author
oauth2.0--基础--03--简单搭建认证服务器,资源服务器
zhou920786312的博客
10-30 2643
1、整体代码 框架:spring sercurity+oauth2.0 1.1、代码结构 3、认证服务器代码:oauth-authorizationServer UserBean AuthorizationServer WebSecurityConfig UserDao SpringDataUserDetailsService application.properties pom.xml mysql.sql 数据库脚本 3.2、解读代码 3.2.1、OAuth2.0授权服务器的开启
SpringCloud搭建微服务之OAuth2认证和授权
liu320yj的博客
10-04 3431
OAuth2.0是一个标准的授权协议,实际上它是用户资源和第三方应用之间的一个中间层,把资源和第三方应用隔开,使得第三方应用无法直接访问资源,第三方应用要访问资源需要通过提供凭证获得OAuth2.0授权,从而起到保护资源的作用
Spring Cloud OAuth2 认证服务器
凉茶铺的博客
08-31 2995
Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统一认证授权服务)发送某个类型的grant_type进行集中认证和授权,从而获得access_token(访问令牌),而这个token是受其他微服务信任的。............
OAuth2:搭建授权服务器
Leon_Jinhai_Sun的博客
07-30 3112
OAuth2:搭建授权服务器
搭建spring security oauth2认证授权服务器
qq_36551991的博客
12-05 2593
搭建spring security oauth2认证授权服务器
oauth服务器搭建 java_JAVA Oauth 认证服务器的搭建
weixin_39599654的博客
02-27 74
http://blog.csdn.net/binyao02123202/article/details/122044111、软件下载2、服务端源码下载后,把相关代码整合在一起(或直接下载站长整合好的代码),修改net.oauth.provider.core.SampleOAuthProvider 类,把从 provider.properties 读取的信息改为从数据库中读取,如APP_KEY、A...
微服务OAuth 2.1认证授权可行性方案(Spring Security 6)
最新发布
m0_51390969的博客
02-08 1926
一个认证服务器(也是一个微服务),专门用于颁发JWT。一个网关(也是一个微服务),用于白名单判断和JWT校验。若干微服务。搭建认证服务器网关白名单判断网关验证JWT认证服务器如何共享公钥,让其余微服务有JWT自校验的能力。
py3oauth2:适用于 Python 3 的 OAuth 2.0 库
07-09
py3oauth2 关于 这是开发的 Python 3 的 OAuth 2.0 提供程序库。 安装 $ pip install py3oauth2 或者 $ python setup.py install 执照 py3oauth2 在 MIT LICENSE 下获得许可。 参见 ./LICENSE.rst。
一步一步搭建 OAuth 认证服务器
leeyisoft的专栏
04-28 1725
现在越来越多开放的互联网公司提供对外的 API 接口,使得第三方应用开发人员可以开发基于该平台接口的应用程序。国外有Twitter、Flicker Service等;国内的,像腾讯微博开放平台、新浪微博开放平台等等。 这些平台接口的认证方式,无一例外的,都采取了 OAuth 来实现(Twitter原来使用的是Basic Auth方式,后来全面转向OAuth)。 那么,OAuth
芋道 spring security oauth2 入门_OAuth2.0分布式系统环境搭建
weixin_39602280的博客
11-26 378
介绍OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0的系统大致分由客户端,认证授权服务器以及资源服务器三部分组成。客户端如果想要访问资源服务器中的资源,就必须要持有认证授权服务器颁发的Token。认证流程如下图所示:这篇文章将通过一个具体的案例来展示如何搭建一个分布式...
OAuth2.0认证登录服务端实现详解
泛微二次开发后端知识总结
05-05 4149
本篇博客介绍了OAuth2.0认证登录服务端的实现过程,主要针对授权码模式和简化模式做了详细介绍。OAuth2.0是目前业界广泛使用的认证授权框架,在实际应用中,可以根据系统需求选择不同的授权方式。
OAuth2.0认证服务搭建记录
cz1803472613的博客
05-26 809
配置OAuth2.0 代码结构 1、依赖准备 <!--spring security的依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depend
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
热门推荐
凡的博客
04-19 1万+
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
通过springboot框架,自己动手实现oauth2.0授权码模式认证
七和
08-16 5286
前言 随着几大社交平台霸主地位的确立,各个小型网站越来越倾向于通过平台认证来简化申请和登录帐号的流程,以增加用户量。这种授权认证方式一般和oauth2.0协议脱不了关系。因为我是在接入qq登录时第一次看到这个标准,所以参考qq登录的官方模版来实现这一过程。(我之前已经写过一篇接入qq登录的博客:网站实现qq登录(springboot后台)) 什么是oauth2.0 阅读理解OAut...
Oauth2.0 认证服务器搭建
白云苍狗
07-29 2950
***配置token//令牌存储方案采用JWTreturnnewJwtTokenStore(jwtAccessTokenConverter());}/**AccessToken转换器定义token的生成方式表示采用JWT来生成//对称秘钥,资源服务器使用该秘钥来验证returnconverter;}}//查询用户信息的service,自行定义privatefinalUserServiceuserService;...
构建简单OAuth授权服务器
github_38730134的博客
02-24 437
构建简单OAuth授权服务器 授权服务器是OAuth生态系统中最复杂的组件,它是整个OAuth系统中安全权威中心,只有授权服务器能够对用户进行认证,注册客户端,颁发令牌。OAuth2.0规范制定中已经尽可能将复杂性从客户端和受保护资源转移至授权服务器 管理OAuth客户端注册 向授权服务器注册客户端信息,可以开发web界面维护客户端信息,也可以初始化。这里我们使用静态注册便于观察学习 var clients = [ { "client_id": "oauth-client-1
OAuth第三方登录 如何搭建系统?
stevewong的专栏
07-14 360
参考 第三方应用应该怎么搞:springboot+oauth ”微信“: 微信 微信官方文档 开搞 okta 这个好像很厉害,直接就搞定了? 先按照上面的教程在okta注册个账号。 github 直接clone到本地。 这个运行起来的话其实依赖okta的服务,我们要自己搞一套那肯定不能这么玩,pass掉 dev.to dev.to 直接按照他的步骤创建一个server 可以得到一个resource server,使用jwt做authorization。但是这也不完整啊,有没有完整的???? spring官方

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值