Accueil > OpenID Connect OAuth Serveur dédié > Développer > OAuth 2.0 > Exemple de code pour le Point d’extrémité de redirection

Exemple de code pour le Point d’extrémité de redirection

L’écriture du code pour traiter le retour de l’autorisation est la partie la plus importante de l’adaptation d’une application cliente en vue d’accéder à une ressource protégée par OAuth. Cependant, il est possible d’écrire ce code pour qu’il s’adapte à tous cas de figure et qu’il puisse s’intégrer à tout développement ultérieur. L’investissement en vaut la peine !

Nous fournissons ici le squelette d’un tel code, en PHP, pour le flux Autorisation via un code (Authorization Code Grant).

Tous les cas non conformes ne sont pas traités, mais cependant le code est fonctionnel.
PHP

  1. <?php
  2.  
  3. /*
  4. Autorisation avec OAuth Server by DnC
  5.  
  6. Retour de OAuth authorize.
  7.  
  8. Ce fichier doit être installé du côté de l'application cliente.
  9. Il correspond au Point d’extrémité de redirection, ou URI de
  10. retour à l’application cliente (Redirection Endpoint).
  11.  
  12. Auteur : Bertrand degoy
  13. Copyright (c) 2016 DnC
  14. */
  15.  
  16.  
  17. //*
  18. $session_name = session_name();
  19. if ( empty($session_name) ) {
  20.     session_name('PHPSESSID');
  21. }
  22. if ( isset($_GET['state']) ) session_id($_GET['state']);
  24. //*/
  25.  
  26. // Code d'autorisation (Authorization code) retourné par le serveur
  27. $authcode = $_GET['code'];
  28. $sanitized_authcode = preg_replace('/[^a-f0-9"\']/', '', $authcode);  
  29.  
  30. if ( $sanitized_authcode === $authcode ) {  
  31.  
  32.     // Demander un jeton d'accès pour l'application
  33.     $jeton = '';
  34.  
  35.     $url = 'http://oa.dnc.global/oauth/token.php';
  36.  
  37.     $datas =  array(
  38.         'grant_type' => 'authorization_code',
  39.         'code' => $sanitized_authcode,
  40.         'client_id' => 'XXXXXXX',                        
  41.         'client_secret' => 'XXXXXXXXXXXXXX',  
  42.     );        
  43.  
  44.     $ch = curl_init();
  45.  
  46.     curl_setopt($ch, CURLOPT_URL, $url);
  47.     curl_setopt($ch, CURLOPT_POST, true);
  48.     curl_setopt($ch, CURLOPT_POSTFIELDS, $datas);
  49.     curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
  50.     curl_setopt($ch, CURLOPT_HEADER, false);
  51.     curl_setopt($ch, CURLOPT_TIMEOUT, 30);
  52.     curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
  53.  
  54.     $result_json = curl_exec($ch);
  55.     $result = json_decode($result_json, true);
  56.  
  57.     $http_code = curl_getinfo( $ch, CURLINFO_HTTP_CODE );
  58.  
  59.     curl_close($ch);
  60.  
  61.     switch( (int)$http_code ) {
  62.         case 200 :
  63.  
  64.             if ( $result['access_token'] ) {
  65.                 $token = $result['access_token'];
  66.                 $sanitized_token = preg_replace('/[^a-f0-9"\']/', '', $token);
  67.                 if ( $sanitized_token === $token ) {
  68.                     $jeton = $token;      
  69.                 } else {
  70.                     // Jeton d'accès corrompu
  71.                 }      
  72.             } else {
  73.                 // Application non autorisée
  74.             }
  75.             if ( $result['refresh_token'] ) {
  76.                 $refresh_token = $result['refresh_token'];
  77.                 $sanitized_rtoken = preg_replace('/[^a-f0-9"\']/', '', $refresh_token);
  78.                 if ( $sanitized_rtoken === $refresh_token ) {
  79.                     $rejeton = $refresh_token;      
  80.                 } else {
  81.                     // Jeton de rafraîchissement corrompu
  82.                 }      
  83.             } else {
  84.                 // Application non autorisée
  85.             }
  86.  
  87.             if ( !empty($jeton) AND !empty($rejeton) ) {
  88.  
  89.                 // Ici, il serait bon de vérifier le jeton, par introspection par exemple.                
  90.                 ...
  91.                 // Succès, mémoriser les jetons dans la session de l'application
  92.                 $_SESSION['oauth_access_token'] = $jeton;
  93.                 $_SESSION['oauth_refresh_token'] = $rejeton;
  94.  
  95.                 if ( $oauth_again = $_SESSION['oauth_again'] ) {
  96.                     // Reprendre où nous en étions avant l'interruption
  97.                     header('Location: ' . $oauth_again );
  98.                     exit;
  99.                 }
  100.             }
  101.             break;
  102.  
  103.         case 401 :
  104.             // Accès non autorisé : problème avec CORS ?
  105.             break;
  106.         case 405 :
  107.             // Requête invalide
  108.             break;
  109.         case 400 :
  110.             // URL non trouvée ou Accès non autorisé
  111.         default:
  112.             break;
  113.     }
  114.  
  115.     if ( empty($jeton) ) {
  116.         // Lire l'erreur
  117.         if ( !is_null( $result ) ) {
  118.             $msg = json_decode( $res, true );
  119.             echo $msg['error'];         //DEBUG
  120.         }
  121.     }
  122.  
  123. } else {
  124.     // Code d'autorisation corrompu
  125. }
  126. ?>

Télécharger

Ceci n’est qu’un exemple très incomplet. Il est important de noter que le jeton ne sert à rien, puisque nous ne le validons pas. La seule chose que nous apprend cette procédure est que l’application est autorisée, à condition toutefois que la réponse ne soit pas falsifiée. La sécurité repose sur l’intégrité de la liaison application-serveur.