[精讚] [會員登入]
[無邊框]
  1. 精讚
  2. Axer's World首頁
  4. 網站服務推廣
  5. [PHP] OPENID CONNECT #1 取得ACCESS TOKEN
2492

[PHP] OPENID CONNECT #1 取得ACCESS TOKEN

取得ACCESS TOKEN

分享此文連結 //n.sfs.tw/11204

分享連結 [PHP] OPENID CONNECT #1 取得ACCESS TOKEN@Axer's World
(文章歡迎轉載,務必尊重版權註明連結來源)
2019-10-25 13:15:39 最後編修
2017-06-05 15:26:39 By Axer
 

自動目錄

 

RP要由OP取得ACCESS TOKEN

必要條件

1. RP 要先向 OP取得 client_id, client_secret,由於認證網站採用 Basic auth,所以還需要有 auth_secret

2. RP 要先設定 redirect_url,認證後回傳到此網址

取得 CODE

將網址導向 oidc認證主機,他的網址是,在 [PHP] OPENID CONNECT #0 簡介及取得URL@Axer's World 中有取得authorization_endpoint

https://oidc.tanet.edu.tw/oidc/v1/azp

其中所代的參數為:

clientid 需申請,由op提供

scope 定義 access token可以存取的權限 openid(必要), openid2(選項), email(選項), profile(選項)

response_type code

redirect_uri 需申請時設定,且urlencoded

state 必要,RP需由帶回來的值驗證SESSION連續狀態

nonce 必要,可用來防止權杖重新取得攻擊

一個連結的範例(認證方法是GET)

https://oidc.tanet.edu.tw/oidc/v1/azp?response_type=code&client_id=d8170c2861d20da77c5839bc71ea4937&redirect_uri=http%3A%2F%2Fexample.com%2Fopenidconnect%2Fcallback.php&scope=openid+email+profile&state=8143249&nonce=NSFSTW

程式記住state值並提供連結給使用者點擊,執行畫面

使用者點擊此連結後會導向此網址後的認證範例畫面

使用者輸入錯誤的範例,帳密驗證錯誤的話無法把資料傳回。

使用者輸入帳密認證成功後會導回RP的redirect_uri,GET帶回參數:

code 接下來取得access token用

state 檢查session的連續性

範例認證後OP轉址到redirect_uri並帶回code及state值

http://example.com/openidconnect/callback.php?code=br2qjcGi5imfua29thT_0Qr9JAbLXNT0zOs_0DnwX0w&state=8143249

寫到這裡我想要貼這張同事傳來的圖片,程式來不及寫了還得寫文件

PHP

config.php

<?php

// RP申請獲得
define('CLIENT_ID', '3b0d2d618fab2----e08ca605e1a74a');
define('CLIENT_SECRET', 'cfc3d40dee3657e----31f1723c4a0804ca0e');
define('AUTH_SECRET', 'dWhvby50d0BnbWFpbC5jb20=');
define('REDIR_URI0', 'http://opneid.example.com/callback.php');

define('WELL_KNOWN_URL', 'https://oidc.tanet.edu.tw/.well-known/openid-configuration');
// 預設0由設定檔的URL決定;設定為1則每次皆由WELL_KNOWN取回END POINT URL
define('DYNAMICAL_ENDPOINT', 0);
// DYNAMICAL_ENDPOINT設為0下方需填寫
define('AUTH_ENDPOINT', 'https://oidc.tanet.edu.tw/oidc/v1/azp');
define('TOKEN_ENDPOINT', 'https://oidc.tanet.edu.tw/oidc/v1/token');
define('USERINFO_ENDPOINT', 'https://oidc.tanet.edu.tw/oidc/v1/userinfo');
// PROFILE URL
define('PROFILE_ENDPOINT', 'https://oidc.tanet.edu.tw/moeresource/api/v1/oidc/profile');

openidconnect/index.php

<?php
include "config.php";
include "library.class.php";

$obj= new openid();

$_SESSION['azp_state']=rand(0,9999999); //隨機產生state值
$_SESSION['nonce']=isset($_SESSION['nonce'])? $_SESSION['nonce']:base64_encode($_SESSION['azp_state']);

$auth_ep=AUTH_ENDPOINT;
if(DYNAMICAL_ENDPOINT){
   $auth_ep=$ep->getEndPoint()->authorization_endpoint;
}
$link = $auth_ep . "?response_type=code&client_id=". CLIENT_ID .
"&redirect_uri=".REDIR_URI0 ."&scope=openid+email+profile&state=".$_SESSION['azp_state'].
"&nonce=".$_SESSION['nonce'];

?>
<!doctype html>
<html lang="zh-TW">
<head>
<meta charset="utf-8" />
</head>
<body>
<a href="<?php echo $link ?>">使用教育部OPENID認證</a>
</body>
</html>

openidconnect/callback.php

$code= $_GET['code'];
$state= $_GET['state'];
//驗證 $state
if( !isset($_GET['code']) ||  !isset($_GET['state'])){
  die ("認證伺服器回傳結果失敗!");
}

if( strcmp($state, $_SESSON['azp_state'])){
  die ("錯誤的認證狀態,請重新嘗試!");
}

//取回access token
include "config.php";
include "library.class.php";

$obj= new openid();

$token_ep=TOKEN_ENDPOINT;
if(DYNAMICAL_ENDPOINT){
   $token_ep=$ep->getEndPoint()->token_endpoint;
}

$acctoken= $obj->getAccessToken($token_ep ,$code, REDIR_URI0);
if( !$acctoken || !isset($acctoken->access_token) ) {
  die ("無法取得ACCESS TOKEN");
}
// 把access token記到session中
print $_SESSION['access_token']= $acctoken->access_token;

第23行執行取回access token的函式,待下一篇說明,取回的access token記到SESSION中,待後面要取回userinfo使用

 

下一篇: [PHP] OPENID CONNECT #2 取得USERINFO及PROFILE

END

你可能感興趣的文章

好用的線上中文打字網頁推薦 台中大德國小吳嘉祥師寫的線上打字測驗程式,安裝簡易可自訂文章,非常好用,我都拿來測學生中文打字。

[PHP] OPENID CONNECT #2 取得USERINFO及PROFILE 此文分為幾個部分: [PHP] OPENID CONNECT #0 簡介及取得URL [PHP] OPENID CONN

使用教育部電子郵件 教育部提供的免費電子郵件,有5GB的空間

[PHP] OPENID CONNECT #4 程式下載及安裝 要使用教育部的本部帳號使用OPENID CONNECT,PHP的範例程式。

[DNS管理系統] DNS的運作及學校切換DNS集中化 dns的運作原理簡介及說明學校切換集中化後,差別是什麼?

[PHP] OPENID CONNECT #0 簡介及取得URL 教育部在全國性的OPENID CONNECT帳號服務,PHP程式說明文件及範例。

我有話要說

>>

限制:留言最高字數1000字。 限制:未登入訪客,每則留言間隔需超過10分鐘,每日最多5則留言。

訪客留言

tad
請問教育部的OpenID帳號要去哪裡申請? 另外,CLIENT_ID、CLIENT_SECRET及AUTH_SECRET要去哪裡申請? 感謝! @2017-06-22 15:48:19

Axer's World
目前有開放測試可申請。請寫信給台中市蕭聖哲師:front713@gmail。未來上線後申請得由openid帳號管理小組(各縣市代表組成)審核。
2017-06-25 01:41:18

隨機好文

不與人爭?軟弱怯儒? 表面上好來好去,溫文儒雅,溫良恭儉讓,私底下是否是假道學偽君子就不得而知。只想當好人,不當壞人。

杞人憂天 杞人憂天是嘲笑人常作無謂的憂慮,可是我們的世紀,反而是一個需憂天的世紀

羽球拍拉線的磅數 羽毛球拉線的磅數跟機器和拉線員的技術有很大關係,到底要拉幾磅?

挪威攝影師Terje Sorgjer的西班牙星空攝影作品 知名的挪威攝影師Terje Sorgjerd幾乎是不眠不休拍攝下這支3分鐘左右的影片,地點位於西班牙的最高峰泰德峰(El Teide)

[書摘] 死亡的臉 「正如生之不易,離開也同樣困難」。這是一本寫死亡的書,他告訴我們哪種死法會怎麼死

網站說明文檔

新手上路小秘訣

精讚首頁各區塊選文標準

使用火狐的閱讀模式

個人首頁各區塊選文標準

..更多說明文件..

關於精讚

寫文章也能賺錢?是的

客服留言版在這裡

更新記要/異動記錄等資訊

新版精讚設計緣由

部落格帳號的退場機制,我的部落格一直有效嗎?

..更多關於精讚..

加入精讚一起創作

這裡歡迎有興趣寫文的人加入,本站採收益共享,因此「業配文」、「廣告文」、「傳直銷保險相關文章」、「商品文」若因此有營收需貢獻20%給網站以利網站永續經營。若您想成為此BLOG的格主,歡迎您填寫以下表格申請,一起為優質好文努力。 加入精讚一起創作
 

快速連結

精讚部落客服留言版 有問題這裡留言