Se desideri solo recuperare l'ID utente, il nome e l'immagine di Google per un visitatore della tua app web, ecco la mia soluzione lato servizio PHP puro per l'anno 2020 senza librerie esterne utilizzate -
Se leggi la guida Using OAuth 2.0 for Web Server Applications di Google (e fai attenzione, a Google piace modificare i link alla propria documentazione), devi eseguire solo 2 passaggi:
- Presenta al visitatore una pagina web che chiede il consenso per condividere il suo nome con la tua app web
- Quindi prendi il "codice" passato dalla pagina web sopra alla tua app web e recupera un token (in realtà 2) da Google.
Uno dei token restituiti si chiama "id_token" e contiene l'ID utente, il nome e la foto del visitatore.
Ecco il codice PHP di un mio gioco web . Inizialmente stavo usando Javascript SDK, ma poi ho notato che i dati utente falsi potevano essere passati al mio gioco web, quando si utilizzava solo l'SDK lato client (in particolare l'id utente, che è importante per il mio gioco), quindi sono passato all'utilizzo PHP lato server:
<?php
const APP_ID = '1234567890-abcdefghijklmnop.apps.googleusercontent.com';
const APP_SECRET = 'abcdefghijklmnopq';
const REDIRECT_URI = 'https://the/url/of/this/PHP/script/';
const LOCATION = 'Location: https://accounts.google.com/o/oauth2/v2/auth?';
const TOKEN_URL = 'https://oauth2.googleapis.com/token';
const ERROR = 'error';
const CODE = 'code';
const STATE = 'state';
const ID_TOKEN = 'id_token';
# use a "random" string based on the current date as protection against CSRF
$CSRF_PROTECTION = md5(date('m.d.y'));
if (isset($_REQUEST[ERROR]) && $_REQUEST[ERROR]) {
exit($_REQUEST[ERROR]);
}
if (isset($_REQUEST[CODE]) && $_REQUEST[CODE] && $CSRF_PROTECTION == $_REQUEST[STATE]) {
$tokenRequest = [
'code' => $_REQUEST[CODE],
'client_id' => APP_ID,
'client_secret' => APP_SECRET,
'redirect_uri' => REDIRECT_URI,
'grant_type' => 'authorization_code',
];
$postContext = stream_context_create([
'http' => [
'header' => "Content-type: application/x-www-form-urlencoded\r\n",
'method' => 'POST',
'content' => http_build_query($tokenRequest)
]
]);
# Step #2: send POST request to token URL and decode the returned JWT id_token
$tokenResult = json_decode(file_get_contents(TOKEN_URL, false, $postContext), true);
error_log(print_r($tokenResult, true));
$id_token = $tokenResult[ID_TOKEN];
# Beware - the following code does not verify the JWT signature!
$userResult = json_decode(base64_decode(str_replace('_', '/', str_replace('-', '+', explode('.', $id_token)[1]))), true);
$user_id = $userResult['sub'];
$given_name = $userResult['given_name'];
$family_name = $userResult['family_name'];
$photo = $userResult['picture'];
if ($user_id != NULL && $given_name != NULL) {
# print your web app or game here, based on $user_id etc.
exit();
}
}
$userConsent = [
'client_id' => APP_ID,
'redirect_uri' => REDIRECT_URI,
'response_type' => 'code',
'scope' => 'profile',
'state' => $CSRF_PROTECTION,
];
# Step #1: redirect user to a the Google page asking for user consent
header(LOCATION . http_build_query($userConsent));
?>
È possibile utilizzare una libreria PHP per aggiungere ulteriore sicurezza verificando la firma JWT. Per i miei scopi non era necessario, perché confido che Google non tradirà il mio piccolo gioco web inviando falsi dati sui visitatori.
Inoltre, se desideri ottenere più dati personali del visitatore, è necessario un terzo passaggio:
const USER_INFO = 'https://www.googleapis.com/oauth2/v3/userinfo?access_token=';
const ACCESS_TOKEN = 'access_token';
# Step #3: send GET request to user info URL
$access_token = $tokenResult[ACCESS_TOKEN];
$userResult = json_decode(file_get_contents(USER_INFO . $access_token), true);
Oppure potresti ottenere più autorizzazioni per conto dell'utente: consulta l'elenco lungo nel documento OAuth 2.0 Scopes for Google APIs .
Infine, le costanti APP_ID e APP_SECRET utilizzate nel mio codice, le ottieni dalla console dell'API di Google :