此文分為幾個部分:
[PHP] OPENID CONNECT #0 簡介及取得URL
[PHP] OPENID CONNECT #1 取得ACCESS TOKEN
[PHP] OPENID CONNECT #2 取得USERINFO及PROFILE
[PHP] OPENID CONNECT #3 驗證id_token
[PHP] OPENID CONNECT #4 程式下載及安裝
上一篇已經有取得ACCESS TOKEN並把access token記到SESSION中,以下是取得access token的函數
PHP
public function getAccessToken($token_ep='' ,$code='', $redir_uri='' ,$rtn_array=false){
$hash = base64_encode( CLIENT_ID . ":" . CLIENT_SECRET);
$data = array('grant_type' => 'authorization_code', 'code'=> $code,
'redirect_uri' => $redir_uri);
$header= array( "Content-type: application/x-www-form-urlencoded",
"Authorization: Basic $hash" ) ;
$options = array(
'http' => array(
'header' => $header,
'method' => 'POST',
'content' => http_build_query($data)
));
$context = stream_context_create($options);
$result = file_get_contents($token_ep, false, $context);
$j= json_decode($result, $rtn_array);
return $j;
}
此函數回傳的陣列內容範例
<==BASE64編碼,部分內容省略==>
[token_type] => Bearer [expires_in] => 3600 )
其中有幾個欄位,簡略說明如下:
access_token 存取用權杖
refresh_token 刷新用權杖
scope 此權杖可使用的權限。openid為必要,其餘為選用,申請時OP有註記可使用scope。多筆scope用空白分格,順序不重要。
id_token id_token 為使用者有關的基本資訊,下一篇OPENID CONNECT #3 驗證id_token會介紹
token_type 使用 Bearer,Base64 encoded
expires_in 有效期限,單位秒
取得USERINFO
接下來可以使用儲存在 session 中的 access token來取回使用者的userinfo,userinfo的內容由 access token定義的scope來決定,輸出的結果是JSON格式,一個userinfo的範例為:
其中有幾個欄位這些欄位稱為 CLAIMS,簡略說明如下:
sub 帳號唯一識別碼
preferred_name openid帳號,也就是本部帳號
name 中文姓名
email 第二電子郵件信箱
PHP
userinfo.php
<?php
//驗證 access token
if( !isset($_SESSION['access_token'])){
die ("無存取用權杖,無法取回使用者資料!");
}
//取回access token
include "config.php";
include "library.class.php";
$obj= new openid();
$token_ep=USERINFO_ENDPOINT;
if(DYNAMICAL_ENDPOINT){
$token_ep=$ep->getEndPoint()->userinfo_endpoint;
}
$userinfo = $obj->getUserinfo($token_ep ,$_SESSION['access_token'], true);
if( !$userinfo) {
die ("無法取得 USER INFO");
}
// 把access token記到session中
print_r($userinfo);
第18行的函數getUserinfo內容如下:
public function getUserinfo($token_ep='' ,$accesstoken='',$rtn_array=false){
$header= array( "Authorization: Bearer $accesstoken" );
$options = array(
'http' => array(
'header' => $header,
'method' => 'GET',
'content' => ''
));
$context = stream_context_create($options);
$result = file_get_contents($token_ep, false, $context);
$u= json_decode($result,$rtn_array);
return $u;
}
取得PROFILE
目前此功能未來可能會整合至profile的scope,因此只暫時列出來參考,取得使用者的profile,只需將 profile的endpoint代入上方函式即可:
$profile = $obj->getUserinfo(PROFILE_ENDPOINT ,$_SESSION['access_token'], true);
profile的內容範例
Array ( [fullname] => 張〇✖ [schoolid] => 193526 [guid] => CC9FEA71B4A386F02349021---30CEA894A6AA78770D1D8D9B6 [sub] => c1b6b0be-b0d3-452a-9dc1-78793cc97eac [titles] => Array ( [0] => Array ( [schoolid] => 193526 [title] => Array ( [0] => 學生 ) ) ) [roles] => Array ( [servicename] => edumail [role] => Array ( [0] => 學生 ) ) [ncnu] => )
下一篇: [PHP] OPENID CONNECT #3 驗證id_token(撰寫中)