Maison > Article > développement back-end > OAuth en PHP : créer un système CMS sécurisé
OAuth en PHP : Construire un système CMS sécurisé
在现代的互联网应用中,用户的身份验证和授权是至关重要的。OAuth (开放授权) 是一种用于身份验证和授权的开放标准,它允许用户授权第三方应用访问其资源,而不需要直接提供用户名和密码。在本文中,我们将探讨如何使用PHP中的OAuth来构建一个安全的CMS系统,并提供一些具体的代码示例。
Avant de commencer, comprenons quelques concepts de base d'OAuth.
Il existe de nombreuses bibliothèques OAuth disponibles pour PHP et nous pouvons les utiliser pour simplifier la mise en œuvre d'OAuth. Dans cet article, nous utiliserons la bibliothèque phpleague/oauth2-client.
Utilisez Composer pour l'installation des dépendances.
composer require league/oauth2-client
Avant d'utiliser OAuth, nous devons enregistrer notre application sur le serveur d'autorisation pour obtenir l'ID client et la clé. Les étapes exactes varient en fonction du fournisseur OAuth. En prenant OAuth 2.0 comme exemple, nous pouvons utiliser GitHub comme serveur d'autorisation.
Ensuite, nous utiliserons un exemple spécifique pour démontrer comment implémenter le processus OAuth.
Tout d'abord, créez un fichier index.php et ajoutez le code suivant :
<?php require_once 'vendor/autoload.php'; $provider = new LeagueOAuth2ClientProviderGithub([ 'clientId' => 'YOUR_CLIENT_ID', 'clientSecret' => 'YOUR_CLIENT_SECRET', 'redirectUri' => 'http://localhost/callback.php', ]); session_start(); if (!isset($_GET['code'])) { $authUrl = $provider->getAuthorizationUrl(); $_SESSION['oauth2state'] = $provider->getState(); header('Location: ' . $authUrl); exit; } elseif (empty($_GET['state']) || ($_GET['state'] !== $_SESSION['oauth2state'])) { unset($_SESSION['oauth2state']); exit('Invalid state'); } else { $token = $provider->getAccessToken('authorization_code', [ 'code' => $_GET['code'] ]); // 使用访问令牌进行API调用 // ... }
Dans le code ci-dessus, nous introduisons d'abord les classes requises et utilisons l'ID client, la clé et l'URL de redirection que nous avons obtenus lors de l'enregistrement de l'application. Initialisez le fournisseur GitHub. .
Ensuite, nous utilisons la méthode getAuthorizationUrl
pour obtenir l'URL d'autorisation et stocker l'état OAuth dans la session. getAuthorizationUrl
方法获取授权URL,并将OAuth状态存储在会话中。
如果URL中没有code
code
dans l'URL, nous redirigeons l'utilisateur vers l'URL d'autorisation. Une fois l'utilisateur autorisé, GitHub sera redirigé vers l'URL de rappel que nous avons fournie. Dans le script de rappel callback.php, ajoutez le code suivant pour compléter le flux OAuth : <?php require_once 'vendor/autoload.php'; $provider = new LeagueOAuth2ClientProviderGithub([ 'clientId' => 'YOUR_CLIENT_ID', 'clientSecret' => 'YOUR_CLIENT_SECRET', 'redirectUri' => 'http://localhost/callback.php', ]); session_start(); if (!isset($_GET['code'])) { exit('Authorization code not found'); } else { try { $token = $provider->getAccessToken('authorization_code', [ 'code' => $_GET['code'], ]); } catch (LeagueOAuth2ClientProviderExceptionIdentityProviderException $e) { exit('Failed to obtain access token'); } // 使用访问令牌进行API调用 // ... }Dans le script de rappel, nous initialisons à nouveau le fournisseur GitHub avec l'ID client, le secret et l'URL de redirection. Nous essayons ensuite d'obtenir le jeton d'accès via le code d'autorisation.
<?php // 使用访问令牌进行API调用 $response = $provider->getAuthenticatedRequest( 'GET', 'https://api.github.com/user', $token ); $httpClient = $provider->getHttpClient(); $user = json_decode($httpClient->send($response)->getBody(), true); echo 'Hello, ' . $user['login'];Dans l'exemple ci-dessus, nous utilisons le jeton d'accès pour obtenir les informations de l'utilisateur actuel via une requête GET et afficher les résultats sur la page.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!