php对接AliGenie天猫精灵服务器控制智能硬件esp8266②全面认识第三方授权机制oauth2.0协议，如何在php上搭建oauth2.0服务端！(附带demo)

• 本系列博客学习由非官方人员 半颗心脏 潜心所力所写&＃xff0c;仅仅做个人技术交流分享&＃xff0c;不做任何商业用途。如有不对之处&＃xff0c;请留言&＃xff0c;本人及时更改。

  • 1、 php对接AliGenie天猫精灵服务器控制智能硬件esp8266① 在阿里云购买搭建私有云服务器&＃xff0c;配置 SSL 证书 &＃xff0c;做好准备工作&＃xff01;

  • 2、 php对接AliGenie天猫精灵服务器控制智能硬件esp8266② 全面认识第三方授权机制 oauth2.0 协议&＃xff0c;如何在 php 上搭建 oauth2.0服务端&＃xff01;

  • 3、 php对接AliGenie天猫精灵服务器控制智能硬件esp8266③渗入熟悉AliGenie 对接协议&＃xff0c;揭开第三方云平台是如何让天猫精灵是发送消息到私有服务器的&＃xff01;

一、前言&＃xff1b;

• 2018年也就只剩下十天了&＃xff0c;今年的收获还是满满的&＃xff0c;去年仅仅做了个硬件的MQTT服务器&＃xff0c;那今年做了esp8266连接阿里云物联网、京东微联、苏宁智能等&＃xff0c;感觉不错&＃xff01;信心杠杠的&＃xff01;&＃xff01;说白了&＃xff0c;还是围绕着这个芯片再走&＃xff0c;感觉自己能力没有得到很大的提升&＃xff01;明年在硬件领域做esp32的语音功能控制&＃xff0c;不再多写esp8266的博文了啦&＃xff01;
• 今年最大的收获就是可以开发微信小程序以及服务器了&＃xff0c;前几天在琢磨这个oauth2.0协议&＃xff0c;终于弄懂了原理&＃xff01;而且还用TP5框架搭好了私有云对接天猫精灵云AliGenie&＃xff0c;实现不用硬件直连阿里云物联网也可以被天猫精灵控制&＃xff0c;哈哈&＃xff01;&＃xff01;
• 因为天猫精灵云服务器对接需要这个自己云服务器集成oauth2.0服务器端&＃xff0c;那么必须要学这个协议的&＃xff01;&＃xff01; 注意是集成oauth2.0服务器端协议&＃xff01;&＃xff01;

二、认识oauth2.0协议&＃xff1b;

• 我开始也是蒙着一头雾水去学这个协议&＃xff0c;百度啊搜狗啊&＃xff0c;爱奇艺、优酷网址搜索视频学习&＃xff0c;东筹西集&＃xff0c;终于跑通了&＃xff01;也就认识理解了&＃xff01;大家不懂的玩意&＃xff0c;还是要多琢磨几天&＃xff0c;就懂了&＃xff01;还是应了那句话“天道酬勤”&＃xff01;&＃xff01;
• 这协议其实已经广泛被应用了&＃xff0c;在我们使用一些网站登录经常遇到&＃xff0c;比如下面的迅捷画图网站&＃xff1a;
  • 在代码逻辑过程是&＃xff1a;迅捷画图网站会提交一则消息到腾讯QQ授权中心网站的认证中心&＃xff0c;如果已经在腾讯QQ网站后台注册了&＃xff0c;就是展示给用户一个登录界面&＃xff0c;当用户操作输入密码或者其他方式登录使得登录成功&＃xff0c;则腾讯QQ授权中心网站就会携带当前用户的信息返回给迅捷画图网站&＃xff01;这样就可以实现 迅捷画图网站不知道当前QQ用户登录的账号和密码&＃xff0c;也可以获取当前QQ用户的信息&＃xff0c;实现登录&＃xff01; 这就是 oauth2.0的强大之处&＃xff01;

• 上面是简书网站和腾讯QQ授权中心网站之间的通讯&＃xff01;那么迅捷画图网站就是客户端&＃xff0c;而腾讯QQ授权中心网站就是oauth2.0服务器端&＃xff01;换个说法&＃xff0c;天猫精灵云服务器就是客户端&＃xff0c;我们的服务器就是oauth2.0服务器端
• 所以&＃xff0c;我们就要如何做一个oauth2.0服务器端&＃xff0c;这篇文章先不讲解天猫精灵的协议&＃xff01;下篇会讲述哈&＃xff01;记得关注我就好了&＃xff01;

三、认识授权过程&＃xff1b;

• 对于oauth2.0来说&＃xff0c;有四种授权方式&＃xff0c;但是天猫精灵的授权方式是授权码方式&＃xff0c;据说这个授权方式也是最为完整和严密的授权方式&＃xff0c;但是我们只能用这个授权方式&＃xff0c;那么我们也就理解这个好了&＃xff1a;

1. 授权码模式&＃xff08;authorization code&＃xff09;
2. 简化模式&＃xff08;implicit&＃xff09;
3. 密码模式&＃xff08;resource owner password credentials&＃xff09;
4. 客户端模式&＃xff08;client credentials&＃xff09;

• 为了更好地记录下整个流程&＃xff0c;我这里自己画个图大家理解下&＃xff01;

• 需要注意的地方&＃xff1a;
  • ①&＃xff1a;第一步&＃xff1a;在私有云服务器已经注册了一个第三方的客户端的信息&＃xff08;名字 &＃43; 密钥&＃xff09;&＃xff0c;第一步天猫精灵服务器会以oauth2.0标准协议携带这个名字向我们的服务器发起授权请求&＃xff01;
  • ②&＃xff1a;第二步&＃xff1a;这时候&＃xff0c;就是我们服务器要做给用户展示是否授权了&＃xff0c;如果授权成功&＃xff0c;就把这个授权码&＃43;当前的用户信息保存在数据库&＃xff01;&＃xff0c;并且把授权码回复给天猫精灵服务器&＃xff01;&＃xff01;
  • ③&＃xff1a;第三步&＃xff1a;上步骤拿到这个授权码是有有效时间的&＃xff0c;就像我们买了的中了奖的彩票一样&＃xff0c;不去兑换就会过期无法兑换现金&＃xff01;而这个有效时间是我们私有服务器设置的&＃xff0c;默认是30秒&＃xff01;所以&＃xff0c;天猫精灵服务器会在30秒内请求我们提供的接口来获取唯一票据凭证access_token!
  • ④&＃xff1a;第四步&＃xff1a;当我们私有服务器校验这个是在有效时间内请求的话&＃xff0c;就会以oauth2.0标准协议发送分配一个唯一票据凭证access_token!给天猫精灵服务器&＃xff0c;这时候&＃xff0c;天猫精灵每次来发现、控制和查询设备都会携带这个access_token前来操作&＃xff01;
  • 当然&＃xff0c;这个access_token也是有有效时间的&＃xff0c;天猫精灵服务器推荐为 2天内&＃xff01;

四、开始集成代码&＃xff1b;

• 首先我们从官方提供oauth2.0的集成仓库下载代码&＃xff1a;https://github.com/bshaffer/oauth2-server-php &＃xff01;尤其注意&＃xff0c;这个最新的代码仓库在php 7.0 版本环境成功&＃xff0c;否则会出现没必要的错误&＃xff01;我已经深深踩坑了&＃xff01;

• 我们仅仅需要oauth2-server-php/src/Oauth2里面的所有文件即可&＃xff0c;其他的都是一些测试代码和说明文档&＃xff01;

4.1 数据库初始化&＃xff1b;

• 仓库的代码示范是基于mysql的&＃xff0c;这种关系型入门数据库&＃xff0c;挺合适的&＃xff01;我们要在我们的项目数据库创建七个表&＃xff0c;复制下面的内容&＃xff0c;在mysql中创建数据库和表&＃xff0c;一个一个添加&＃xff1a;


CREATE TABLE oauth_clients (client_id VARCHAR(80) NOT NULL,client_secret VARCHAR(80),redirect_uri VARCHAR(2000),grant_types VARCHAR(80),scope VARCHAR(4000),user_id VARCHAR(80),PRIMARY KEY(client_id)
);CREATE TABLE oauth_access_tokens (access_token VARCHAR(40) NOT NULL,client_id VARCHAR(80) NOT NULL,user_id VARCHAR(80),expires TIMESTAMP NOT NULL,scope VARCHAR(4000),PRIMARY KEY (access_token)
);CREATE TABLE oauth_authorization_codes (authorization_code VARCHAR(40) NOT NULL,client_id VARCHAR(80) NOT NULL,user_id VARCHAR(80),redirect_uri VARCHAR(2000),expires TIMESTAMP NOT NULL,scope VARCHAR(4000),id_token VARCHAR(1000),PRIMARY KEY (authorization_code)
);CREATE TABLE oauth_refresh_tokens (refresh_token VARCHAR(40) NOT NULL,client_id VARCHAR(80) NOT NULL,user_id VARCHAR(80),expires TIMESTAMP NOT NULL,scope VARCHAR(4000),PRIMARY KEY (refresh_token)
);CREATE TABLE oauth_users (username VARCHAR(80),password VARCHAR(80),first_name VARCHAR(80),last_name VARCHAR(80),email VARCHAR(80),email_verified BOOLEAN,scope VARCHAR(4000),PRIMARY KEY (username)
);CREATE TABLE oauth_scopes (scope VARCHAR(80) NOT NULL,is_default BOOLEAN,PRIMARY KEY (scope)
);CREATE TABLE oauth_jwt (client_id VARCHAR(80) NOT NULL,subject VARCHAR(80),public_key VARCHAR(2000) NOT NULL
);

• 成功创建之后如图&＃xff1a;

• 我们创建一个第三方应用的名字和密钥&＃xff0c;也是后面我们天猫精灵所需要的,也即是在表oauth_clients中插入一个记录&＃xff0c;注意redirect_uri的数值必须为固定&＃xff0c;grant_types的数值我在官网文档看到是一定要插入的&＃xff0c;不然会报错&＃xff01;&＃xff01;
  • client_id–> xuhong
  • client_secret --> xuhongyss123456
  • redirect_uri --> https://open.bot.tmall.com/oauth/callback
  • grant_types --> authorization_code

• mysql语句&＃xff1a;

INSERT INTO oauth_clients (client_id, client_secret, redirect_uri , grant_types ) VALUES ("xuhong", "xuhongyss123456", "https://open.bot.tmall.com/oauth/callback", "authorization_code");


4.2 我们新建一个给予授权码的代码对外文件AligenieAuthorize.php

• 目的让客户端拿着clientId按照oauth2.0标准协议请求这个文件&＃xff0c;拿到授权码&＃xff01;
• 文件中有一个H5界面界面&＃xff0c;展示用户是否授权&＃xff1f;

/*** Created by PhpStorm.* User: XuHong* Date: 2018/12/20* Time: 16:00*/require_once(&＃39;OAuth2/Autoloader.php&＃39;);
global $server;//根据您的数据库配置而定
$dsn &＃61; &＃39;mysql:dbname&＃61;db_oauth;host&＃61;localhost&＃39;;
$username &＃61; "root";
$password &＃61; "root";\OAuth2\Autoloader::register();
//oauth操作数据库开始
$storage &＃61; new \OAuth2\Storage\Pdo(array(&＃39;dsn&＃39; &＃61;> $dsn, &＃39;username&＃39; &＃61;> $username, &＃39;password&＃39; &＃61;> $password));// Pass a storage object or array of storage objects to the OAuth2 server class
$server &＃61; new \OAuth2\Server($storage);// Add the "Client Credentials" grant type (it is the simplest of the grant types)
$server->addGrantType(new \OAuth2\GrantType\ClientCredentials($storage));// Add the "Authorization Code" grant type (this is where the oauth magic happens)
$server->addGrantType(new \OAuth2\GrantType\AuthorizationCode($storage));\OAuth2\Autoloader::register();// $dsn is the Data Source Name for your database, for exmaple "mysql:dbname&＃61;my_oauth2_db;host&＃61;localhost"
$storage &＃61; new \OAuth2\Storage\Pdo(array(&＃39;dsn&＃39; &＃61;> $dsn, &＃39;username&＃39; &＃61;> $username, &＃39;password&＃39; &＃61;> $password));
// var_dump($storage);// Pass a storage object or array of storage objects to the OAuth2 server class
$server &＃61; new \OAuth2\Server($storage);// Add the "Client Credentials" grant type (it is the simplest of the grant types)
$server->addGrantType(new \OAuth2\GrantType\ClientCredentials($storage));// Add the "Authorization Code" grant type (this is where the oauth magic happens)
$server->addGrantType(new \OAuth2\GrantType\AuthorizationCode($storage));$request &＃61; \OAuth2\Request::createFromGlobals();
$response &＃61; new \OAuth2\Response();// 校验请求是否 oauth2.0 请求以及是否 clientId 是否已经注册在数据库
if (!$server->validateAuthorizeRequest($request, $response)) {$response->send();die;
}
// display an authorization form
if (empty($_POST)) {exit(&＃39;你个人信息id是 2018 ,是否授权此设备?
&＃39;);
} else {echo &＃39;fail &＃39;;
}// print the authorization code if the user has authorized your client
$is_authorized &＃61; ($_POST[&＃39;authorized&＃39;] &＃61;&＃61;&＃61; &＃39;yes&＃39;);
$server->handleAuthorizeRequest($request, $response, $is_authorized, 2018);
if ($is_authorized) {// this is only here so that you get to see your code in the cURL request. Otherwise, we&＃39;d redirect back to the client$code &＃61; substr($response->getHttpHeader(&＃39;Location&＃39;), strpos($response->getHttpHeader(&＃39;Location&＃39;), &＃39;code&＃61;&＃39;) &＃43; 5, 40);exit("SUCCESS! Authorization Code: $code");
}//不管用户是否点击允许授权&＃xff0c;都要发送给客户端
$response->send();

4.3 我们新建一个给予access_oken的代码对外文件AligenieToken.php

• 如果上面客户端成功拿到授权码&＃xff0c;在有效时间内就会来这文件请求拿accessToken。


$dsn &＃61; &＃39;mysql:dbname&＃61;db_oauth;host&＃61;localhost&＃39;;
$username &＃61; "root";
$password &＃61; "root";\OAuth2\Autoloader::register();
$storage &＃61; new \OAuth2\Storage\Pdo(array(&＃39;dsn&＃39; &＃61;> $dsn, &＃39;username&＃39; &＃61;> $username, &＃39;password&＃39; &＃61;> $password));$server &＃61; new \OAuth2\Server($storage, array(&＃39;refresh_token_lifetime&＃39; &＃61;> 2419200,&＃39;access_lifetime&＃39; &＃61;> 3600,// 3600 / 60 / 60 &＃61; 1 小时有效时间的 accesstoken
));// Add the "Client Credentials" grant type (it is the simplest of the grant types)
$server->addGrantType(new \OAuth2\GrantType\ClientCredentials($storage));// Add the "Authorization Code" grant type (this is where the oauth magic happens)
$server->addGrantType(new \OAuth2\GrantType\AuthorizationCode($storage));
$server->handleTokenRequest(\OAuth2\Request::createFromGlobals())->send();


4.3 我们新建一个给客户端拿着access_oken请求资源的对外文件getResource.php&＃xff1b;


//资源控制器的建立和测试
require_once(&＃39;OAuth2/Autoloader.php&＃39;);global $server;
$dsn &＃61; &＃39;mysql:dbname&＃61;www_zmdzn_com;host&＃61;localhost&＃39;;
$username &＃61; "www_zmdzn_com";
$password &＃61; "root";\OAuth2\Autoloader::register();// $dsn is the Data Source Name for your database, for exmaple "mysql:dbname&＃61;my_oauth2_db;host&＃61;localhost"
$storage &＃61; new \OAuth2\Storage\Pdo(array(&＃39;dsn&＃39; &＃61;> $dsn, &＃39;username&＃39; &＃61;> $username, &＃39;password&＃39; &＃61;> $password));// Pass a storage object or array of storage objects to the OAuth2 server class
$server &＃61; new \OAuth2\Server($storage);// Add the "Client Credentials" grant type (it is the simplest of the grant types)
$server->addGrantType(new \OAuth2\GrantType\ClientCredentials($storage));// Add the "Authorization Code" grant type (this is where the oauth magic happens)
$server->addGrantType(new \OAuth2\GrantType\AuthorizationCode($storage));if (!$server->verifyResourceRequest(\OAuth2\Request::createFromGlobals())) {$server->getResponse()->send();die;
}$token &＃61; $server->getAccessTokenData(\OAuth2\Request::createFromGlobals());//如果通过校对&＃xff0c;则打印该 token对应的用户
echo json_encode(array(&＃39;success&＃39; &＃61;> true, &＃39;message&＃39; &＃61;> &＃39;the token is right and your user_id is &＃39; . $token[&＃39;user_id&＃39;]));//do your things

五、测试代码&＃xff1b;

• 第一步&＃xff1a;我们先oauth2.0协议向服务器请求授权码&＃xff0c;下面的域名根据您的情况而定&＃xff01;看请求参数有指定response_type为code&＃xff0c;而client_id就是我们在数据库插入的那个数值&＃xff0c;后面那个state其然就是加密方式什么的。我也不太清楚&＃xff01;

https://www.domain.com/AligenieAuthorize.php?response_type&＃61;code&client_id&＃61;xuhong&state&＃61;0.125544


• 不出意外&＃xff0c;出现如下界面&＃xff1f;先询问用户是否授权&＃xff0c;然后得到一串字符&＃xff0c;就是授权码&＃xff01;
  

• 第二步&＃xff1a;上一步&＃xff0c;我们已经成功拿到了授权码&＃xff0c;此刻我们以oauth2.0协议拿着这个授权码去请求access_token&＃xff0c;下面是我在postMan工具模拟的&＃xff0c;注意要在Authorization这一栏的Basic Oauth填入我们的数据库的那个记录的信息。之后在body里面填入我们的授权方式grant_type为authorization_code&＃xff0c;而code就是上面拿到的那个授权码&＃xff01; 成功之后&＃xff0c;会得到以下数据&＃xff1a;

{"access_token": "54a7cab857d46c15c877b469b78e56ac4b3670be","expires_in": 3600,"token_type": "Bearer","scope": null,"refresh_token": "6325ef3783e9495cfc6147640655690ce2ee180c"
}


• 第三步&＃xff1a;上一步我们已经拿到了access_token&＃xff0c;这步我们就拿这个access_token去拿资源啦&＃xff01;

https://www.domain.com/getResource.php?access_token&＃61;54a7cab857d46c15c877b469b78e56ac4b3670be


六、注意事项&＃xff1b;

• 整个过程中&＃xff0c;我们都发现到最后都是拿这个access_token&＃xff0c;这个信息是至关重要的&＃xff0c;后面的天猫精灵都是拿着这个来请求控制或者查询设备的&＃xff01;
• 还要强调一点&＃xff0c;环境一定要php7.0版本或以上&＃xff0c;这个新版的仓库代码兼容不了旧版的&＃xff0c;我已经尝试了一天了&＃xff01;
• 大家有什么问题&＃xff0c;欢迎留言&＃xff01;
• 本代码工程下载&＃xff08;包括oauth2.0库&＃xff09;&＃xff1a;https://download.csdn.net/download/xh870189248/10866543