可以通过一下地址学习composer:学习地址
最近,我在为一个新项目构建认证服务时,就遇到了这样的困境。我们需要在现有的Laravel Passport基础上,增加OpenID Connect的支持,以便我们的前端应用能够通过标准的OIDC流程获取用户信息,并实现更灵活的身份验证。最初,我考虑自己手动扩展Laravel Passport,但很快意识到这会是一个巨大的工程,不仅要深入理解OIDC的每一个细节,还要确保与OAuth2服务器的兼容性,并妥善处理密钥管理和安全问题。这无疑会大大拖慢开发进度,并增加潜在的风险。
正当我为此感到头疼时,我发现了 ronvanderheijden/openid-connect 这个Composer包。它简直是为解决我的问题量身定制的!这个库专门为 thephpleague/oauth2-server 提供了OpenID Connect的支持,并且完美兼容Laravel Passport,这让我眼前一亮。
告别复杂,拥抱简洁:ronvanderheijden/openid-connect 的魅力
ronvanderheijden/openid-connect 的核心价值在于,它将OpenID Connect的复杂性封装起来,让我们可以像搭积木一样,在已有的OAuth2服务器上轻松添加OIDC功能。它通过扩展 league/oauth2-server 的 ResponseType 机制,在OAuth2授权流程中注入了生成和返回 id_token 的能力。
安装过程简单直接,只需一行Composer命令:
立即学习“PHP免费学习笔记(深入)”;
composer require ronvanderheijden/openid-connect安装完成后,接下来就是配置密钥。OpenID Connect中的 id_token 是一个JSON Web Token (JWT),它需要使用私钥进行签名,并提供公钥供客户端验证。这个库对此也有清晰的指引:
mkdir -m 700 -p tmpopenssl genrsa -out tmp/private.key 2048openssl rsa -in tmp/private.key -pubout -out tmp/public.keychmod 600 tmp/private.keychmod 644 tmp/public.key这些命令会生成一个2048位的RSA私钥和对应的公钥,并将它们保存在
tmp目录下。私钥用于签名id_token,公钥则用于客户端验证签名的合法性。如何集成到你的PHP应用(以
league/oauth2-server为例)如果你直接使用
league/oauth2-server,集成过程也很直观:use OpenIDConnectEntitiesIdentityRepository;use OpenIDConnectGrantAuthCodeGrant;use OpenIDConnectIdTokenResponse;use OpenIDConnectClaimsClaimExtractor;use LcobucciJWTConfiguration;use LcobucciJWTSignerKeyInMemory;use LcobucciJWTSignerRsaSha256;use LeagueOAuth2ServerAuthorizationServer;use LeagueOAuth2ServerRepositoriesAccessTokenRepositoryInterface;use LeagueOAuth2ServerRepositoriesClientRepositoryInterface;use LeagueOAuth2ServerRepositoriesScopeRepositoryInterface;use NyholmPsr7FactoryServerRequestFactory;use OpenIDConnectServicesCurrentRequestService;// ... (你的其他仓库和密钥配置) ...$privateKeyPath = 'tmp/private.key';$encryptionKey = 'def00000e700b08088b90b9b3921588669e4695027581b0a85233e7920786520b22a075308696d07e9d7240f9599554a9d7240f9599554a9'; // 示例加密密钥$currentRequestService = new CurrentRequestService();$currentRequestService->setRequest(ServerRequestFactory::fromGlobals());// 创建 OpenID Connect 响应类型$responseType = new IdTokenResponse( new IdentityRepository(), // 你的 Identity 仓库 new ClaimExtractor(), Configuration::forSymmetricSigner( new Sha256(), InMemory::file($privateKeyPath), ), $currentRequestService, $encryptionKey,);$server = new AuthorizationServer( $clientRepository, $accessTokenRepository, $scopeRepository, $privateKeyPath, // 用于 OAuth2 的私钥路径 $encryptionKey, // 用于 OAuth2 的加密密钥 $responseType // 注入 OpenID Connect 响应类型);// 如果需要 Nonce 支持,记得使用 OpenIDConnectGrantAuthCodeGrant$server->enableGrantType(new AuthCodeGrant($userRepository, $authCodeRepository, $this->app->make(IdentityRepository::class), new DateInterval('PT10M')), new DateInterval('PT1H'));现在,当客户端在授权请求中包含
openidscope时,服务器就会在响应中返回一个id_token。如果你还提供了profile或id_token中还会包含相应的声明(claims),如用户的姓名、邮箱等。Laravel Passport用户的福音
对于广大的Laravel开发者来说,这个库的集成更是无缝。它提供了专门的Laravel服务提供者,大大简化了配置:
AppMall应用商店
AI应用商店,提供即时交付、按需付费的人工智能应用服务
56 查看详情
1. 添加服务提供者:
在
config/app.php中添加:// config/app.php'providers' => [ // ... 其他服务提供者 OpenIDConnectLaravelPassportServiceProvider::class,],2. 创建身份实体:
为了让
id_token包含用户的额外信息(如邮箱),你需要创建一个IdentityEntity类,用于从你的User模型中收集这些“声明”(claims)。// app/Entities/IdentityEntity.phpnamespace AppEntities;use AppModelsUser; // 假设你的用户模型是 AppModelsUseruse LeagueOAuth2ServerEntitiesTraitsEntityTrait;use OpenIDConnectClaimsTraitsWithClaims;use OpenIDConnectInterfacesIdentityEntityInterface;class IdentityEntity implements IdentityEntityInterface{ use EntityTrait; use WithClaims; protected User $user; public function setIdentifier($identifier): void { $this->identifier = $identifier; $this->user = User::findOrFail($identifier); } public function getClaims(): array { return [ 'email' => $this->user->email, 'name' => $this->user->name, // 示例:添加用户姓名 // ... 其他你希望包含在 id_token 中的声明 ]; }}通过
php artisan vendor:publish --tag=openid命令,你还可以发布配置文件,进一步定制scope、claim集或仓库。更棒的是,这个包还自动为Laravel Passport提供了OpenID Connect的 发现(Discovery) 和 JWKS(JSON Web Key Set) 端点,这对于OIDC客户端来说是至关重要的,它们可以通过这些端点自动获取认证服务器的信息和公钥,实现自动配置。
发现端点:
/.well-known/openid-configurationJWKS端点:/oauth/jwks优势与实际应用效果
使用
ronvanderheijden/openid-connect解决OIDC集成问题,带来了诸多显著优势:极大地简化了OIDC实现:我们无需从头学习并实现复杂的OIDC规范,只需少量配置即可在现有OAuth2服务器上启用OIDC功能。无缝兼容Laravel Passport:对于Laravel生态的开发者来说,这是福音。它让Laravel应用轻松升级,支持更广泛的认证场景。增强了安全性:库本身处理了JWT的签名、加密、Nonce支持等关键安全机制,减少了手动实现可能带来的安全漏洞。标准化与互操作性:遵循OpenID Connect标准,确保了与各种OIDC客户端(如移动应用、前端SPA、其他服务)的良好互操作性。减少开发时间与成本:将我们从繁琐的认证细节中解放出来,可以更专注于核心业务逻辑的开发。易于维护和扩展:基于Composer和现有OAuth2服务器,使得后续的维护和功能扩展变得更加简单。
通过集成
ronvanderheijden/openid-connect,我们的项目不仅成功实现了OpenID Connect认证,还显著提升了开发效率和系统的安全性。它让我们能够轻松地为用户提供更现代、更安全的认证体验。如果你也在为PHP应用集成OpenID Connect而烦恼,强烈推荐你尝试这个强大的Composer包!以上就是如何为PHP应用快速集成OpenIDConnect?使用ronvanderheijden/openid-connect和Composer轻松实现安全认证。的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/323265.html
微信扫一扫 
支付宝扫一扫 
