Авторизация через социальные сети

Авторизация через соцсети это одна из самих частых задач с которыми сталкиваются разработчики развлекательных сайтов. Казалось бы там и делать нечего, ведь для каждого API существует PHP библиотека от самого вендора. Но что делать если надо подключить сразу несколько? Не хочется тянуть в проект кучу библиотек которые имплементируют один и тот же протокол OAuth, к тому же хотелось бы иметь какой-то единый интерфейс. PHPixie Social — маленькая библиотека с только одной зависимостью, которая позволяет легко работать сразу с Facebook, Twitter, Google и Вконтакте, а если вы используете PHPixie фреймворк то также сразу получаете авторизацию всего в несколько строчек кода.

Но сначала рассмотрим компонент сам по себе.

Конфигурация

<?php
$config = array(
    // Имена провайдеров могут быть произвольными,
    // но для простоты примера имя я взял с типа API
    'facebook' => array(
        'type'      => 'facebook',
        'appId'     => '',
        'appSecret' => '',

        // опционально права которые запросить у пользователя,
        'scope' => array(),
 
        // опционально версия API
        'apiVersion' => '2.3' 
    ),
    'twitter' => array(
        'type' => 'twitter',

        // Twitter работает через OAuth 1.0a
        // поэтому поля отличаются
        'consumerKey' => '',
        'consumerSecret' => ''
    ),
    'google' => array(
        'type'      => 'google',
        'appId'     => '',
        'appSecret' => '',

        // опционально
        'scope'  => array(), 
        'apiVersion' => '2.3' 
    ),
    'vk' => array(
        'type'      => 'vk',
        'appId'     => '',
        'appSecret' => '',

        // опционально
        'scope'  => array(), 
        'apiVersion' => '2.3' 
    ),
);

Инициализация

// та единственная зависимость
$slice = new PHPixieSlice();
$config = $slice->arrayData($config);

$social = new PHPixieSocial($config);

Авторизация пользователя

Итак первое что нам надо сделать это запросить у пользователя авторизацию, для этого нам понадобится придумать какую-то ссылку куда API пришлет нам токен доступа. Тогда мы перенаправляем пользователя на страницу авторизации. Вот простой пример:

$callbackUrl = 'http://localhost.com/callback=1';

if(!isset($_GET['callback'])) {
    //Если параметра нет, далаем редирект

    $loginUrl = $social->get('facebook')->loginUrl($callbackUrl);
    header('Location: '.$loginUrl);

} else {
   // Если параметр есть,  значит это к нам пришел ответ от API,
   // с ним придет еще много параметров которые Social обработает сам.
   // Заметьте, что значение $callbackUrl тут тоже нужно
   $socialUser = $social->get('faceebook')->handleCallback($callbackUrl, $_GET);

   if($socialUser === null) {
        // Пользователь отклонил авторизацию
        echo "You didn't authorize our app";

   }else{
       // Запрос к API от имени пользователя
       var_dump($socialUser->get('me'));
   }
}

Объект пользователя

$socialUser->id(); // ID пользователя в соцсети

// Дополнительная информация доступна после логина
$socialUser->loginData(); 

// GET Запрос
$socialUser->get('some/endpoint', $queryParams = array());

// POST Запрос
$socialUser->post('some/endpoint', $data = array(), $queryParams = array());

// Произвольный запрос
$socialUser->api('PUT', 'some/endpoint', $queryParams = array(), $data = array());

// Токен авторизации,
// его можно сериализировать и сохранить
// в сессии или в базе
$token = $social->token();

// Получить пользователя по токену
$socialUser = $social->get('facebook')->user($token);

// Кстати запросы можно делать сразу с токеном
$social->get('facebook')->get($token, 'some/endpoint', $queryParams = array());
$social->get('facebook')->post($token, 'some/endpoint', $data = array(), $queryParams = array());
$social->get('facebook')->api($token, 'PUT', 'some/endpoint', $queryParams = array(), $data = array());

Интеграция с фреймворком

В фреймворке по умолчанию доступен плагин к модулю авторизации, который обрабатывает логин пользователя и легко включается в его конфигурации. Те кто уже работает с фреймворком не найдут в этом ничего сложного, так что в этот раз вместо описания я оставлю ссылку на демо проект: https://github.com/phpixie/demo-socialauth

В нем пользователь сам выбирает через какую сеть авторизоваться. Если он зашел впервые, ему сразу-же создастся запись в табличке Users и логин запомнится через сессию. При последующем логине будет уже использоваться сущность с базы.

Чтобы попробовать Social, достаточно просто composer require phpixie/social, ну и как всегда, если у вас возникнуть какие-либо вопросы, обращайтесь сразу к нам в чат.

Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.

Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.

Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.

Вот их ответ в декабре 17-го:

Там есть запросы на наш счетчик ли.ру и на наш сайт. Партнерские запросы были ранее, но мы их окончательно убрали несколько месяцев назад.

— но они слукавили — запрос к x01.aidata.io они отправляли:

И на ресурсе не последовало ответа никому.

Так что это такое этот aidata.io? Это платформа управления данными для программного маркетинга. Так себя этот сервис называет. Но зачем он мне? Да, я знаю: что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные. Но они отправляют данные к себе. Они используют свои, проверенные скрипты — третья сторона не вмешается в работу скрипта. А uLogin подключает третью сторону и мне, как владельцу сайта не говорит об этом. Это честно? Я думаю нет. Против ли я? Конечно против.

С 25 мая 2022 года вступил в силу общий регламент по защите персональных данных Европейского союза: Data Protection Regulation (GDPR) и в РФ, ранее — №152-ФЗ «О персональных данных» — а uLogin не уведомляет моих посетителей сайта. Я и сам не знал что данные собираются — как я ответил бы на этот вопрос если ко мне постучались в дверь? Я не контролировал свой сайт.

Поверить им стоило, что они окончательно убрали трекинг? Я поверил.

24 января 2022-го я обратил внимание на ошибки в консоли сайта:

и тут же забил тревогу. Списался по почте с командой uLogin — ответ:

Это скрипт-трекер от нашего партнера.

Вот это поворот! Чуть больше месяца назад они меня заверили что убрали подобное.

А между тем в интернете, на площадке reformal, происходило движение в теме. Я не знаю правил публикаций — позволяют вставить ссылку? Но я рискну: тема от 28 декабря 2022-го

Там и я написал и выложил для светлых голов содержимое подключаемого скрипта.
В теме отвечал Иван Пшеницын — и он очень удивлялся — «как же так может происходить». В конце марта он последний раз появился в теме и бросил своих клиентов, что доверили им свои сайты — на произвол судьбы.

И даже в мае 2022-го в тему поступали новые комментаторы, в конце апреля пользователь с ником Maxim, опубликовал видео — как скрипт из формы на сайте, на совсем сторонний сайт отправляет пользовательские персональные данные (номер телефона).

Месяц назад тему подняли в официальном форуме поддержки вордпресс плагина — два человека пожаловались на утечку. Официального ответа там не было.

Стоит ли доверять команде сервиса, которые утверждали в почтовой переписке, что они убрали партнерские запросы, а продолжают подсовывать «троянских коней» на наши сайты? Если они дают возможность третьей стороне грузить бесконтрольно на наши сайты любой js, то что они захотят (эти третьи лица) — правильно ли это? Безопасно ли это? Законно ли это?

Эту запись я публикую — т.к. от команды сервиса uLogin не получил должного ответа.

p.s. при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы.

Если у вас есть идеи и мысли по поводу данного продукта и сложившейся ситуации — добро пожаловать в комментарии.

upd. 2022-06-05 — Вчера я написал письмо службе безопасности вордпресс. Они отреагировали (но к сожалению ответ мне по почте пока не прислали) — плагин в официальном репозитории вордпресса недоступен для скачивания. Посетителя встречает такая надпись:

Или разбираются в вопросе, или дали время команде uLogin на устранение такого поведения.