Oauth+thinkphp的理解与实践
Oauth+thinkphp的理解与实践
- 首先 , Oauth 是什么?
具体的可参见阮一峰的Oauth的讲解,地址,其中,阐述的大家可以看一看,我主要针对的是其中的 授权码模式。
-
授权码模式:
-
- 用户打开客户端,客户端请求用户给与授权
-
- 用户同意授权
-
- 客户端获得授权后,向认证服务器(发放授权方)申请令牌
-
- 客户端得到令牌(可以设置权限)后,就可以向自己的资源服务器拿权限范围之内的资料了
-
举个例子-我要问妈妈拿钱买零食:
首先,我要产生买零食的欲望(步骤1 ),有买零食的欲望后(2),我要和妈妈说,要妈妈同意并且给我钱,我才能买,不然妈妈会打我并且不让我买零食(3) , 我拿到钱后,只要我有足够多的钱(权限)就可以去商店随便买我卖的钱(权限范围)的零食了
授权码模式 模式是其中最复杂也是最安全的模式
- 实践
只要用过微信小程序的人,便知道,当第一次使用的时候,它总是会叫你授权。
对的,这就是授权码模式中的 行为1
这里我主要针对微信的登录流程并结合授权码模式进行实践
技术支持:thinkphp
工具支持:tool - 下载地址:
在线文档:https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842
小程序登录行为处理:https://developers.weixin.qq.com/miniprogram/dev/api/open-api/login/wx.login.html
接口:https://developers.weixin.qq.com/miniprogram/dev/api/open-api/login/code2Session.html
拉取用户信息微信登录流程如下
-
获取code,获取code
注册小程序号测试号(建议新建一个邮箱,公众号账号和小程序账号不同), 创建一个测试
打开设置->开发设置 , 保存你的AppID 和 AppSecret
打开微信开发工具,导入项目文件,启动工具 (下载地址)[]
点击申请令牌,获取code -
通过code换取网页授权access_token、openid
/** * @return string token 辨认用户信息 * @throws CacheException * @throws Exception * @throws WechatException */ public function get() { // 发起一个 HTTP请求 通过code换取网页授权access_token 的行为 // 类似于: https://api.weixin.qq.com/sns/jscode2session?appid=你的appid&secret=你的SECRET&js_code=JSCODE&grant_type=authorization_code $result = curl_get($this->wxLoginUrl); $result = json_decode($result , true); // 如果为空的话,则是微信内部出现错误了 if( empty($result) ) { throw new Exception('获取access_token 和 oppenid时 发生异常:error,内部错误'); }else{ // 错误情况下的返回: {"errcode":40029,"errmsg":"invalid code"} // 检查是否存在错误码 if( array_key_exists('errcode' , $result) ) { // 处理一个异常信息,可忽略 $this->processLoginError($result); } } // 获取一个token $token = $this->grantToken($result); return $token; } /** * 处理流程: * 通过openid检查数据库中是否存在这个用户,否则创建,返回当前授权用户id * 准备缓存数据,写入$result+$uid信息,过期时间查看system配置项 * 写入缓存,返回存入缓存的key=token * @param $uid integer 用户的id * @param $result array 获得的微信授权后得到的信息 * @return string token 数据(存放用户信息) * @throws CacheException 异常处理 */ public function grantToken($result) { $openid = $result['openid']; // 检查数据库中是否存在这个用户 $user = (new UserModel)->getUserOpenid($openid); // 当数据库中不存在这个 用户的时候插入用户 if( !$user ) { $user = $this->newUser($openid); } $uid = $user->id; // 准备缓存数据 $cachedValue = $this->prepareCacheData($result , $uid); // 写入缓存 $token = $this->saveToAllValue($cachedValue); return $token; } /** * 写入缓存处理逻辑 * @param $value array $result+$uid : 缓存的信息 * @return string token * @throws CacheException */ public function saveToAllValue($value) { $key = self::generateToken(32); $value = json_encode($value); $expire_in = config('system.expire_in'); $result = cache($key , $value , $expire_in); if( !$result ) { throw new CacheException([ 'msg' => '服务器缓存出现异常', 'errCode' => '30000' ]); } return $key; }处理流程,当我执行get方法时,发起了一个针对 https://api.weixin.qq.com/sns/jscode2session?appid=你的appid&secret=你的SECRET&js_code=JSCODE&grant_type=authorization_code 的get 请求。
请求成功:
{ "access_token":"ACCESS_TOKEN", "expires_in":7200, "refresh_token":"REFRESH_TOKEN", "openid":"OPENID", "scope":"SCOPE" }请求失败:
{"errcode":40029,"errmsg":"invalid code"}一般除了invalid code错误之外,还会出现code已使用的情况。
记住:code 只能使用一次
-
资源服务器发放token
当取得授权后,说明你用户已经成功的加入了小程序。对用户信息进行存档
疑问:如何避免用户的权限问题呢(不能对资源服务器随意的发起任何资源请求)
每个人的信息是独一无二的,不能让其他人看到,或者需要登录查看这就需要涉及到发放资源服务器token了
资源服务器针对每个用户当前的一段时间的行为给与一个token,客户端可以携带这个token向客户端证明自己的身份来请求相关资源
设置token相关代码:
$key = randomkeys($length); // 随机一个字符串 $salt = config('system.token_salt'); // 加盐 $time = $_SERVER['REQUEST_TIME_FLOAT']; // 当前请求时间(防止token重复) return md5($key . $salt . $time); // 生成tokentoken 只是一个key值,通过携带的token,服务器可以token向缓存文件匹配,拿到属于这个用户的信息 可参见 saveToAllValue 方法
当然,我使用的这种方法还是比较浅显,可以参见 Jwt
浙公网安备 33010602011771号