[PHP] OPENID CONNECT #2 取得USERINFO及PROFILE

URL Link //n.sfs.tw/11206

2017-06-05 15:27:34 By Axer

此文分為幾個部分:

[PHP] OPENID CONNECT #0 簡介及取得URL
[PHP] OPENID CONNECT #1 取得ACCESS TOKEN
[PHP] OPENID CONNECT #2 取得USERINFO及PROFILE
[PHP] OPENID CONNECT #3 驗證id_token
[PHP] OPENID CONNECT #4 程式下載及安裝

上一篇已經有取得ACCESS TOKEN並把access token記到SESSION中,以下是取得access token的函數

PHP

  public function getAccessToken($token_ep='' ,$code='', $redir_uri='' ,$rtn_array=false){
    $hash = base64_encode( CLIENT_ID . ":" . CLIENT_SECRET);
    $data = array('grant_type' => 'authorization_code', 'code'=> $code,
      'redirect_uri' => $redir_uri);
    $header= array( "Content-type: application/x-www-form-urlencoded",
       "Authorization: Basic $hash" ) ;
    $options = array(
        'http' => array(
          'header'  => $header,
          'method'  => 'POST',
          'content' => http_build_query($data)
        ));
    $context = stream_context_create($options);
    $result = file_get_contents($token_ep, false, $context);
    $j= json_decode($result, $rtn_array);
    return $j;
  }

此函數回傳的陣列內容範例

Array ( [access_token] => 7NkeXr8ci4Aw6MTgXPOAJXHDh2ng4KsDKh5a67NljGs [refresh_token] => Rq2uPIhVXjKB_hHURlNnW9s8GrXk11qjLxu8DpqF29I [scope] => openid profile userinfo [id_token] => eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJjMWI2YjBiZS1iM3MWVhNDkzNyIsImlzcyI6Imh0dHBzOlwvXwvU9IUQLqaFyB9Y8fSvZv-qwJCIV8FJWpBrxIopuaQdVp6cgNQja1hrQ_l3sQ
<==BASE64編碼,部分內容省略==>
[token_type] => Bearer [expires_in] => 3600 )

其中有幾個欄位,簡略說明如下:

access_token 存取用權杖

refresh_token 刷新用權杖

scope 此權杖可使用的權限。openid為必要,其餘為選用,申請時OP有註記可使用scope。多筆scope用空白分格,順序不重要。

id_token id_token 為使用者有關的基本資訊,下一篇OPENID CONNECT #3 驗證id_token會介紹

token_type 使用 Bearer,Base64 encoded

expires_in 有效期限,單位秒

取得USERINFO

接下來可以使用儲存在 session 中的 access token來取回使用者的userinfo,userinfo的內容由 access token定義的scope來決定,輸出的結果是JSON格式,一個userinfo的範例為:

{"sub":"c1b6b0be-b0d3-452a-9dc1-78793cc97eac","preferred_name":"axeredu","name":"張〇✖","email":"axeredu@edu.tw"}

其中有幾個欄位這些欄位稱為 CLAIMS,簡略說明如下:

sub 帳號唯一識別碼

preferred_name openid帳號,也就是本部帳號

name 中文姓名

email 第二電子郵件信箱

PHP

userinfo.php

<?php
//驗證 access token
if( !isset($_SESSION['access_token'])){
  die ("無存取用權杖,無法取回使用者資料!");
}

//取回access token
include "config.php";
include "library.class.php";

$obj= new openid();

$token_ep=USERINFO_ENDPOINT;
if(DYNAMICAL_ENDPOINT){
   $token_ep=$ep->getEndPoint()->userinfo_endpoint;
}

$userinfo = $obj->getUserinfo($token_ep ,$_SESSION['access_token'], true);
if( !$userinfo) {
  die ("無法取得 USER INFO");
}
// 把access token記到session中
print_r($userinfo);

第18行的函數getUserinfo內容如下:

  public function getUserinfo($token_ep='' ,$accesstoken='',$rtn_array=false){
    $header= array( "Authorization: Bearer $accesstoken" );
    $options = array(
        'http' => array(
          'header'  => $header,
          'method'  => 'GET',
          'content' => ''
        ));
    $context = stream_context_create($options);
    $result = file_get_contents($token_ep, false, $context);
    $u= json_decode($result,$rtn_array);
    return $u;
  }

取得PROFILE

目前此功能未來可能會整合至profile的scope,因此只暫時列出來參考,取得使用者的profile,只需將 profile的endpoint代入上方函式即可:

$profile = $obj->getUserinfo(PROFILE_ENDPOINT ,$_SESSION['access_token'], true);

profile的內容範例

Array ( [fullname] => 張〇✖ [schoolid] => 193526 [guid] => CC9FEA71B4A386F02349021---30CEA894A6AA78770D1D8D9B6 [sub] => c1b6b0be-b0d3-452a-9dc1-78793cc97eac [titles] => Array ( [0] => Array ( [schoolid] => 193526 [title] => Array ( [0] => 學生 ) ) ) [roles] => Array ( [servicename] => edumail [role] => Array ( [0] => 學生 ) ) [ncnu] => )

下一篇: [PHP] OPENID CONNECT #3 驗證id_token(撰寫中)