[精讚] [會員登入]
1534

[PHP] OPENID CONNECT #2 取得USERINFO及PROFILE

此文分為幾個部分: [PHP] OPENID CONNECT #0 簡介及取得URL [PHP] OPENID CONN

分享此文連結 //n.sfs.tw/11206

分享連結 [PHP] OPENID CONNECT #2 取得USERINFO及PROFILE@Axer's World
(文章歡迎轉載,務必尊重版權註明連結來源)
2019-10-16 10:10:52 最後編修
2017-06-05 15:27:34 By Axer
 

自動目錄

此文分為幾個部分:

[PHP] OPENID CONNECT #0 簡介及取得URL
[PHP] OPENID CONNECT #1 取得ACCESS TOKEN
[PHP] OPENID CONNECT #2 取得USERINFO及PROFILE
[PHP] OPENID CONNECT #3 驗證id_token
[PHP] OPENID CONNECT #4 程式下載及安裝

上一篇已經有取得ACCESS TOKEN並把access token記到SESSION中,以下是取得access token的函數

PHP

  public function getAccessToken($token_ep='' ,$code='', $redir_uri='' ,$rtn_array=false){
    $hash = base64_encode( CLIENT_ID . ":" . CLIENT_SECRET);
    $data = array('grant_type' => 'authorization_code', 'code'=> $code,
      'redirect_uri' => $redir_uri);
    $header= array( "Content-type: application/x-www-form-urlencoded",
       "Authorization: Basic $hash" ) ;
    $options = array(
        'http' => array(
          'header'  => $header,
          'method'  => 'POST',
          'content' => http_build_query($data)
        ));
    $context = stream_context_create($options);
    $result = file_get_contents($token_ep, false, $context);
    $j= json_decode($result, $rtn_array);
    return $j;
  }

此函數回傳的陣列內容範例

Array ( [access_token] => 7NkeXr8ci4Aw6MTgXPOAJXHDh2ng4KsDKh5a67NljGs [refresh_token] => Rq2uPIhVXjKB_hHURlNnW9s8GrXk11qjLxu8DpqF29I [scope] => openid profile userinfo [id_token] => eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJjMWI2YjBiZS1iM3MWVhNDkzNyIsImlzcyI6Imh0dHBzOlwvXwvU9IUQLqaFyB9Y8fSvZv-qwJCIV8FJWpBrxIopuaQdVp6cgNQja1hrQ_l3sQ
<==BASE64編碼,部分內容省略==>
[token_type] => Bearer [expires_in] => 3600 )

其中有幾個欄位,簡略說明如下:

access_token 存取用權杖

refresh_token 刷新用權杖

scope 此權杖可使用的權限。openid為必要,其餘為選用,申請時OP有註記可使用scope。多筆scope用空白分格,順序不重要。

id_token id_token 為使用者有關的基本資訊,下一篇OPENID CONNECT #3 驗證id_token會介紹

token_type 使用 Bearer,Base64 encoded

expires_in 有效期限,單位秒

取得USERINFO

接下來可以使用儲存在 session 中的 access token來取回使用者的userinfo,userinfo的內容由 access token定義的scope來決定,輸出的結果是JSON格式,一個userinfo的範例為:

{"sub":"c1b6b0be-b0d3-452a-9dc1-78793cc97eac","preferred_name":"axeredu","name":"張〇✖","email":"axeredu@edu.tw"}

其中有幾個欄位這些欄位稱為 CLAIMS,簡略說明如下:

sub 帳號唯一識別碼

preferred_name openid帳號,也就是本部帳號

name 中文姓名

email 第二電子郵件信箱

PHP

userinfo.php

<?php
//驗證 access token
if( !isset($_SESSION['access_token'])){
  die ("無存取用權杖,無法取回使用者資料!");
}

//取回access token
include "config.php";
include "library.class.php";

$obj= new openid();

$token_ep=USERINFO_ENDPOINT;
if(DYNAMICAL_ENDPOINT){
   $token_ep=$ep->getEndPoint()->userinfo_endpoint;
}

$userinfo = $obj->getUserinfo($token_ep ,$_SESSION['access_token'], true);
if( !$userinfo) {
  die ("無法取得 USER INFO");
}
// 把access token記到session中
print_r($userinfo);

第18行的函數getUserinfo內容如下:

  public function getUserinfo($token_ep='' ,$accesstoken='',$rtn_array=false){
    $header= array( "Authorization: Bearer $accesstoken" );
    $options = array(
        'http' => array(
          'header'  => $header,
          'method'  => 'GET',
          'content' => ''
        ));
    $context = stream_context_create($options);
    $result = file_get_contents($token_ep, false, $context);
    $u= json_decode($result,$rtn_array);
    return $u;
  }

取得PROFILE

目前此功能未來可能會整合至profile的scope,因此只暫時列出來參考,取得使用者的profile,只需將 profile的endpoint代入上方函式即可:

$profile = $obj->getUserinfo(PROFILE_ENDPOINT ,$_SESSION['access_token'], true);

profile的內容範例

Array ( [fullname] => 張〇✖ [schoolid] => 193526 [guid] => CC9FEA71B4A386F02349021---30CEA894A6AA78770D1D8D9B6 [sub] => c1b6b0be-b0d3-452a-9dc1-78793cc97eac [titles] => Array ( [0] => Array ( [schoolid] => 193526 [title] => Array ( [0] => 學生 ) ) ) [roles] => Array ( [servicename] => edumail [role] => Array ( [0] => 學生 ) ) [ncnu] => )

下一篇: [PHP] OPENID CONNECT #3 驗證id_token(撰寫中)

END

你可能感興趣的文章

[PHP] OPENID CONNECT #1 取得ACCESS TOKEN 取得ACCESS TOKEN

教育部OPENID帳號管理服務使用說明 教育部OPENID帳號管理服務系統使用說明 系統簡介 教育部OPENID帳號管理系統,主要處理帳號的問題,例如個人資料修

在麥當勞和便利商店使用台中市教育局公務帳號上網(免費) 台中市網建置的教育局公務帳號,非常的好用,可在M或部分便利店免費上網

好用的線上中文打字網頁推薦 台中大德國小吳嘉祥師寫的線上打字測驗程式,安裝簡易可自訂文章,非常好用,我都拿來測學生中文打字。

嘸蝦米的替代好物--無蝦殼 進到WIN11後,除了購買原版的嘸蝦米,還可以用無蝦殼來替代

[PHP] OPENID CONNECT #0 簡介及取得URL 教育部在全國性的OPENID CONNECT帳號服務,PHP程式說明文件及範例。

我有話要說

>>

限制:留言最高字數1000字。 限制:未登入訪客,每則留言間隔需超過10分鐘,每日最多5則留言。

訪客留言

[無留言]

隨機好文

笑話第2彈 辦公室寫真 從前有一家公司,淘汰了一批落後的設備。 董事會說:「這些設備不能扔,找個地方放起來。」於是專門為這批設備修建

中打練習 題一,常用字練習(出現率70%) 題二、句子練習(基本)梅豔芳--似水流年 參考資料 [1] tqc 中文檢定規定 ht

笑話第6彈 八塊錢 正看雜誌的丈夫放下雜誌,看著太太… 丈夫:「我剛曉得,南非的女人每次房事完後,都會給先生八塊錢,這

笑話第7彈 吵架 睡前,村長照常的作夜間巡邏。一個小孩悶悶不樂坐在路旁。 村長:小朋友,這麼晚了,你一個人外面幹什麼,怎麼不進屋裡去

台中市WINDOWS/OFFICE KMS認證伺服器 台中市每年簽約的KMS認證伺服器,可認證微軟相關產品,以下是認證及除錯方式。