Настройка авторизации через OAUTH2 сервера https://oauth2.volmed.org.ru
Подготовительные операции
- Идем в БД oauth_db на сервере 172.16.130.31 и добавляем в таблицу oauth_clients
- client_id - Номер WEB интерфейса, который вы собираетесь подключить
- client_secret - Набор любых символов для шифрования
- Добавляем в настроечный файл сервиса следующие строки
$GLOBALS['id_resource'] = 7; // Номер WEB интерфейса $GLOBALS['jwt_key'] = 'sdklfwiomwefwepiojwepjowfmwfmwef'; // Строка с набором символов для шифрования JWT токена $oauth2_url = 'https://oauth2.volmed.org.ru'; // URL сервиса авторизации $GLOBALS['oauth2_url'] = $oauth2_url; $redirect_uri = $http."://$_SERVER[HTTP_HOST]"; $GLOBALS['redirect_uri'] = $redirect_uri;
- Для работы с JWT токеном используем библиотеку https://github.com/firebase/php-jwt. Ее нужно установить в каталог class/jwt
Создание таблицы для хранения дополнительных данных
Создаем таблицу
CREATE TABLE `user_sessions` ( `session_id` VARCHAR(64) NOT NULL COMMENT 'уникальная строка, хранится в JWT и БД' COLLATE 'utf8mb4_0900_ai_ci', `user_id` INT NOT NULL COMMENT 'идентификатор пользователя', `ip` VARCHAR(45) NULL DEFAULT NULL COMMENT 'опционально, помогает выявлять кражу сессии' COLLATE 'utf8mb4_0900_ai_ci', `user_agent_hash` VARCHAR(64) NULL DEFAULT NULL COMMENT 'опционально, помогает выявлять кражу сессии' COLLATE 'utf8mb4_0900_ai_ci', `created_at` DATETIME NULL DEFAULT NULL COMMENT 'время создания сессии', `last_activity` DATETIME NULL DEFAULT NULL, PRIMARY KEY (`session_id`) USING BTREE ) COLLATE='utf8mb4_0900_ai_ci' ENGINE=InnoDB ;
Хранение пользовательских данных в COOKIES
Самое простое для моего случая - хранить в куках id пользователя и время создания куков. Тк все данные пользователя, я могу вытащить из БД по его id.
Их нужно зашифровать с помощью JWT и хранить полученное значение в куках.
protected function set_cookie()
{
/*
* Устанавливаем COOKIE
*/
if (empty($this->login_expires_set)) {
$this->login_expires_set = 0;
}
if (empty($_COOKIE['jwt']) && !empty($this->auth['id'])) {
$payload = [
'id_user' => !empty($this->auth['id_real']) ? $this->auth['id_real'] : $this->auth['id'],
'time_beg' => time(),
];
setcookie('jwt', JWT::encode($payload, $GLOBALS['jwt_key'], 'HS256'), [
"expires" => strtotime($this->login_expires_set),
"path" => "/",
"httponly" => true,
]);
}
}
И проверка кукис
protected function load_cookie()
{
/*
* Метод по проверке COOKIE и загрузки их в переменные для проверки авторизации
*/
if (!empty($_COOKIE['jwt'])) {
$decoded_obj = JWT::decode($_COOKIE['jwt'], new Key($GLOBALS['jwt_key'], 'HS256'));
$decoded = get_object_vars($decoded_obj);
$this->id_user = $decoded['id_user'];
$this->time_beg = $decoded['time_beg'];
}
}
Формирование строки авторизации
Для перехода на страницу сервера авторизации, генерим следующий код
// 2. Если нет авторизации и нет code → редиректим на OAuth2 authorize
if (empty($this->auth['id']) && empty($oauth2_access['access_token'])) {
// Сохраняем текущий URL для возврата после авторизации
$_SESSION['oauth_return_to'] = $_SERVER['REQUEST_URI'];
// Генерируем state для защиты от CSRF
$state = bin2hex(random_bytes(16));
//old $_SESSION['state'] = $state;
$_SESSION['oauth_states'][$state] = time();
// printr($_SESSION);
// exit;
// Формируем URL для authorize
$url_data = [
'response_type' => 'code',
'client_id' => $GLOBALS['id_resource'],
'state' => $state,
'redirect_uri' => $GLOBALS['redirect_uri'],
// 'scope' => 'profile', // пока не используем
];
$url = $GLOBALS['oauth2_url'] . '?' . http_build_query($url_data);
header('Location:' . $url);
exit;
}
После перехода на сервер авторизации, вводим Логин и Пароль. И если он правильный, то сервер возвращает на страницу редиректа
Если пришёл code от OAuth2 сервера
// === OAuth2 Flow ===
// 1. Если пришёл code от OAuth2 сервера
if (!empty($_GET['code'])) {
$validState = false;
if (!empty($_GET['state']) && !empty($_SESSION['oauth_states'])) {
$ttl = 600; // 10 минут
// очистка старых state
foreach ($_SESSION['oauth_states'] as $s => $t) {
if ($t < time() - $ttl) {
unset($_SESSION['oauth_states'][$s]);
}
}
// проверка текущего state
if (isset($_SESSION['oauth_states'][$_GET['state']])) {
$validState = true;
unset($_SESSION['oauth_states'][$_GET['state']]); // одноразовый
}
}
if ($validState) {
// Обмениваем code на access_token
$oauth2_access = $this->oauth2_post();
if (!empty($oauth2_access['id_user'])) {
$this->auth_from_cookie($oauth2_access['id_user']);
$this->set_cookie();
// Редирект на исходный URL
$redirect = $_SESSION['oauth_return_to'] ?? '/';
// Удаляем ненужные параметры
unset($_SESSION['oauth_return_to']);
header('Location: ' . $redirect);
exit;
} else {
die('Ошибка авторизации: не удалось получить access_token');
}
} else {
// возможно истёк или устарел
$redirect = $_SESSION['oauth_return_to'] ?? '/';
unset($_SESSION['oauth_return_to']);
header('Location: ' . $redirect);
exit;
}
}
Формирование POST запроса авторизации
private function oauth2_post()
{
$post_data = [
"user_id" => $_GET['user_id'], // ID пользователя, возвращенного oauth2 серверром
"code" => $_GET['code'],
'grant_type' => 'authorization_code', // Тип гранта
'client_id' => $GLOBALS['id_resource'], // ID сервиса
'client_secret' => 'wetreyrtbv:KJLKO', // это код из БД OUTH2 сервера таблица oauth_clients.client_secret для $GLOBALS['id_resource']
'redirect_uri' => $GLOBALS['redirect_uri'],
// 'scope' => 'read write',
];
$data_string = json_encode($post_data);
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $GLOBALS['oauth2_url'] . '/token');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_CUSTOMREQUEST, "POST");
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data_string);
curl_setopt($ch, CURLOPT_HTTPHEADER, array(
'Content-Type: application/json',
'Content-Length: ' . strlen($data_string),
));
$oauth2_access = [];
$output = curl_exec($ch);
// execute the request
if ($output === false) echo 'Ошибка curl: ' . curl_error($ch);
else {
$oauth2_access = json_decode($output, true);
if (!empty($oauth2_access['error'])) {
printr($oauth2_access);
exit();
}
$oauth2_access['id_user'] = $_GET['user_id'];
}
curl_close($ch);
return $oauth2_access;
}
Запрос пользовательских данных
public function take_userinfo()
{
$accessToken = $this->access_token; // <-- access token
$userInfoUrl = $GLOBALS['oauth2_url'] . '/userinfo'; // <-- endpoint
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $userInfoUrl);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, [
'Authorization: Bearer ' . $accessToken,
'Accept: application/json'
]);
$response = curl_exec($ch);
$httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
if (curl_errno($ch)) {
echo 'Ошибка cURL: ' . curl_error($ch);
} elseif ($httpCode !== 200) {
echo "Ошибка HTTP $httpCode: $response";
} else {
$userData = json_decode($response, true);
//printr($userData);
}
curl_close($ch);
return $userData;
}