oauth2.0 php rest,使用 OAuth2.0 服务端为你的 REST API 增加密码授权功能

最新推荐文章于 2021-05-02 22:56:44 发布
最新推荐文章于 2021-05-02 22:56:44 发布
阅读量314 收藏
点赞数
文章标签: oauth2.0 php rest

在接口开发中一般使用传统的Token来验证访问的有效性,但是这种方式非常容易被攻击,当Token被拦截后相当于接口对外开放了,所以需要一种更安全的接口认证方式。

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。

下面将介绍如何使用插件 OAuth2.0 服务端 处理你的 API 认证。注意: php版本需要在 7.1 以上。

第一步,下载插件。

第二步,安装扩展库,请确认php版本:# php7.2及以上

composer require league/oauth2-server:8.2建议使用php7.2以上的版本

第三步,创建 private key 和 public key:openssl genrsa -out private.key 2048

openssl rsa -in private.key -pubout > public.keyprivate key 和 public key 放到项目主目录下

第四步,用户模型使用Trait Weasy\Oauth\ApiTokens

用户模型我们使用 fastadmin 的用户模型 app\common\model\User,如下:<?php

namespace app\common\model;

use think\Model;

// 导入 Trait

use Weasy\Oauth\ApiTokens;

/**

* 会员模型

*/

class User extends Model

{

// 使用 ApiTokens Trait

use ApiTokens;

// 开启自动写入时间戳字段

protected $autoWriteTimestamp = 'int';

// 定义时间戳字段名

protected $createTime = 'createtime';

protected $updateTime = 'updatetime';

...

...

}

第五步,创建控制器

在 application/api/controller 下创建控制器 Test.php:<?php

namespace app\api\controller;

use Weasy\Oauth\CheckCredentials;

use app\common\controller\Api;

/**

* 接口

*/

class Test extends Api

{

// 这里使用控制器中间件鉴权

use CheckCredentials;

protected $noNeedLogin = '*';

protected $noNeedRight = '*';

// index 不需要鉴权

protected $noNeedCheck = 'index';

/**

* 初始化,验证 access_token

*/

public function _initialize()

{

parent::_initialize();

// 验证 access_token

$this->handle();

}

public function index()

{

$this->success("你访问的是 index 接口");

}

public function show()

{

$this->success("你访问的是 show 接口");

}

public function delete()

{

$this->success("你访问的是 delete 接口");

}

}

测试

创建密码授权客户端

首先我们进入 http://localhost/addons/oauth/clients 创建一个密码客户端,我用的本地测试,将localhost修改为你的服务器地址,客户端创建如下:

77d9fa4a45e44a83682c021b368bd983.png

创建完成我们拿到 客户端ID 和 客户端秘钥,也就是OAuth2.0常说的 APP_ID 和 APP_SECRET,有了这两个就可以获取访问令牌了,如下:

bced50219cdd6df86916fea2720e486f.png

获取访问令牌

在访问受保护的API时我们需要获取 access_token 和 refresh_token,URI为oauth/token,我用的本地测试,所以地址是 http://localhost/oauth/token 使用 postman 测试如下:

91aed1c147eb8ecd4e1302456aecdf0d.png需要的参数分别是授权类型grant_type,值为 password 密码授权类型

客户端IDclient_id,值为上面获取到的客户端ID

客户端秘钥client_secret,值为上面获取到的客户端秘钥

用户名username,你可以使用fastadmin自带的用户系统创建一个用户

密码password

授权范围scope,如果你需要设定访问范围需加上scope参数

我们拿到访问令牌 access_token 就可以访问受保护的API了。

index 接口

index 方法不用鉴权就可以访问,使用 postman 测试如下:

70a42c33bebae0746883e6bc898d939d.png

show接口

在测试show接口或需要用户进行身份验证的任何 API 时,你需要指定两个标头请求头信息。 你必须在 Authorization 请求头中将 token 指定为 Bearer token。 基本上,你必须将收到的 access_token 拼到 Bearer 后面,当中空一个空格。'headers' => [

'Accept' => 'application/json',

'Authorization' => 'Bearer '. $accessToken, // Bearer后面有一个空格

]

使用 postman 测试如下:

不带 Authorization 头:

8ed795cbf9ae38f3386610f92c897d4c.png

带 Authorization 头:

83acc0edc5c6f2ba2dff8ec166ecdbd1.png

可以看到当我们将 access_token 通过 Bearer token 附加到 Authorization 头上后就可以成功访问 show 接口了。

delete接口

delete方法也是受保护的接口,访问时也和 show 接口一样,测试如下:

dfbe3beb7d5b31a2ced9c49746beadbc.png

刷新令牌

如果你拿到的是一个短期授权令牌或访问令牌过期可以使用 refresh_token 刷新令牌来获取新的访问令牌,示例如下:

75a75b29623e5bc085b011a35dcf95e1.png其中参数将 grant_type 改为 refresh_token,添加参数 refresh_token,值为获取访问令牌时返回的刷新令牌。

注意:刷新令牌refresh_token只能使用一次,上面的方法会重新发出一个刷新令牌。

我是跟野兽差不了多少
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2 php客户端的例子
08-16
OAuth 2.0 is the next evolution of the OAuth protocol which was originally created in late 2006. OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows for web applications, desktop applications, mobile phones, and living room devices. This specification is being developed within the IETF OAuth WG and is based on the OAuth WRAP proposal.
Vue.js使用$.ajax和vue-resource实现OAuth的注册、登录、注销和API调用
12-09
这个应用始终遗留了一个问题,Web App在访问REST API时,没有经过任何认证,这使得服务端REST API是不安全的,只要有人知道api地址,就可以调用API服务端的资源进行修改和删除。 今天我们就来探讨一下如何结合...
一个简单的PHP微信OAuth2.0登录客户端
weixin_34413802的博客
02-05 135
想法 最近公司要求接入微信,支付宝三方登录, 于是我萌生了一个想法,贡献一个开箱即用的OAuth2.0的登录客户端,方便以后使用。 基本思想 通过这次经历学到了不少东西,包括git,github的使用, 面向对象程序设计,单元测试等等,感觉受益颇多。 也认识到想要把所有知识融会贯通起来,创建一个好的项目是很不容易的。还是要多实践才能出真...
PHP应用中简化OAuth2.0身份验证集成:OAuth 2.0 Client
weixin_30420305的博客
06-10 232
PHP应用中简化OAuth2.0身份验证集成:OAuth 2.0 Client 在PHP应用中简化OAuth2.0身份验证集成:OAuth 2.0 Client 阅读目录 验证代码流程 Refreshing a Token Built-In Providers 这个包能够让你以很简单的方式在...
php oauth 服务端,OAuth 2.0 PHP客户端和服务器示例
weixin_36431489的博客
03-10 179
一旦您知道协议的工作原理,设置OAuth2提供程序就变得非常简单。这是一个2或3步的过程(取决于您的设置,以及是否代表用户或仅从服务器获取令牌)。你需要什么> OAuth2提供程序的工作代码>耐心你需要知道如何处理你的代码:>创建客户端(公共和私有访问令牌)找出授权和令牌端点的命名方式(通常是/授权和/令牌)找出范围如何处理获取令牌的第一步是调用/授权?response_type...
php github oauth2.0,使用 GitHub OAuth 第三方验证登录
weixin_36337502的博客
03-09 332
现在很多站点都支持第三方登录功能。作为一个技术博客,目标受众项是一批程序员,第三方登录的就选中了github。这篇文章注意是讲一讲如何给自己的博客添加github自动登录功能。OAuth 2.0说到第三方登录,不得不提的一个知识点就是 oauth 2.0。OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密...
基于Django2.1.2的OAuth2.0授权登录
04-15
在Django框架中实现OAuth2.0授权登录,可以让开发者轻松地为他们的Web应用添加安全的第三方登录功能。以下是关于这个主题的一些关键知识点: 1. **Django框架基础**: Django是Python的一个高级Web框架,它遵循MVT...
C# 实现Rest服务接口,含实现文档
11-12
7. **身份验证与授权**:可以使用ASP.NET的身份验证和授权机制,如OAuth、JWT(JSON Web Tokens)等,确保REST服务的安全性。 8. **测试REST接口**:使用工具如Postman或curl,模拟不同HTTP方法的请求,验证接口的...
scoped-api-starter:使用范围限定的JWT的受限资源的快速API模板
05-28
综上所述,"Scoped API Starter"项目提供了一个使用Node.js和Express构建、结合OAuth2和JWT授权RESTful API的起点,特别关注于通过权限范围控制资源访问。对于希望学习如何在实际项目中实施这些技术的开发者来说,...
REST-API:REST Api示例
05-21
此外,为了确保REST API的安全性,可以集成JWT(JSON Web Tokens)进行身份验证,或者使用OAuth2进行授权。对于API的版本控制,可以考虑在URL中添加版本号,如`/v1/users`。 总之,这个REST-API示例项目涵盖了从...
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
Oauth2.0协议 整合php框架 客户端 服务端授权码模式小demo
oauth2-server, 一个 PHP OAuth 2.0服务器实现.zip
09-18
oauth2-server, 一个 PHP OAuth 2.0服务器实现 PHP OAuth服务器一个 PHP OAuth 2.0服务器实现。 安装包可以以用 Composer 安装,也可以以通过直接修改 composer.json 或者使用 composer require 命令来安装。co
laravel-oauth2-api:为API提供OAuth2
02-23
laravel-oauth2-api 设置 执行以下命令 docker-compose up -d docker-compose exec app composer install docker-compose exec app php artisan migrate docker-compose exec app php artisan passport:install 在参考同时使用PHPStorm设置开发设置 :warning: 重点 :warning: 语言和框架> PHP CLI解释器 服务器:docker-compose 服务:应用 Docker容器无需设置 伺服器 端口:8080 服务器上的绝对路径:无需设置 运行/调试配置IDE密钥:PHPStorm 设置环境变量 cp .env .env.local # fill in these values GOOGLE_CLIENT_ID= GO
淘宝PHP版 SDK下载 OAuth2.0授权协议开发 Demo讲解
07-31
一、淘宝OAuth2.0 SDK制作介绍 授权步骤 1、Request至用户授权页面:https://oauth.taobao.com/authorize,回调得到Code;(见callback.php页面里GetAuthorization_Code()函数) 2、得到Code后,把Code及其它必要参数,需POST至第三方页面:https://oauth.taobao.com/token,获取得到淘宝平台返回的access_token;(见tbconnect.asp页面里GetAccess_Token()函数) 3、得到Token的同时,淘宝平台同时返回了部分用户信息,包括:淘宝用户账号ID(taobao_user_id)、用户昵称(taobao_user_nick),这个时候基本可以满足网站接入登录制作数据需求了(如果需要获取到其他淘宝API接口数据,再通过指定的接口请求获取)。 二、SDK使用配置 SDK主要就三个页面(callback.php、config.php、index.php)、一个淘宝登录图标! callback.php -- 回调页面,对数据进行处理 index.asp -- 中转页面,跳至授权页面,淘宝登录图标就是链接这个地址 配置淘宝APP Key、APP Secret、回调地址,打开config.asp页面,找到相应的参数,修改为自己的就可以了。 使用注意事项及疑难解决,及其他详情查看:http://blog.unvs.cn/archives/taobao-php-sdk-demo.html
使用OAuth2令牌的安全REST服务
最佳 Java 编程
06-05 440
1.简介 在本教程中,我们将介绍如何将Spring Security与OAuth结合使用以保护REST服务。 在演示应用程序中,可以使用路径模式( / api / ** )访问服务器上受保护的REST资源,以便基于该路径的请求URL映射到不同的控制器方法。 这意味着 - 路径中没有' / api '的任何REST请求URL都将保持无效 ,因为这些URL与任何控制器映射都不匹配。 完...
Django 架设 Restful API(四)API开发:OAuth2.0 认证和鉴权
anbuqi的博客
05-02 3147
1.Django 架设 Restful API(三)
使用OAuth保护REST API使用简单的Angular客户端
weixin_30835933的博客
06-01 217
1.概述 在本教程中,我们将使用OAuth保护REST API并从简单的Angular客户端使用它。 我们要构建的应用程序将包含四个独立的模块: 授权服务器 资源服务器 UI implicit - 使用implicit流的前端应用程序 UI密码 - 使用密码流的前端应用程序 在我们开始之前 -** 一个重要的注意事项。请记住,Spring Security核心团队正在实施新的OAuth2堆栈 ...
REST API 的安全认证,从 OAuth 2.0 到 JWT 令牌
芋艿V
09-23 170
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~...
用composer装oauth2-server-php v0.9(bshaffer)
weixin_34133829的博客
08-16 519
从官网下载composerhttps://getcomposer.org/composer是跨平台的, 这里只介绍windows使用composer下载好了后, 进行安装.可以选择 "Install Shell Menus", 这将会在右键菜单里面增加composer的快捷入口.composer会自动找到php.exe的位置. 也可以自定义php的位置.下载composer....
java实现oauth2.0_Java的oauth2.0 服务端与客户端的实现
最新发布
06-13
它支持多种OAuth2.0授权流程,包括授权码、隐式授权、客户端凭证授权密码授权等。 4. Google OAuth Client Library for Java:Google OAuth Client Library for Java是Google官方提供的Java OAuth2.0客户端库。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值