Zend Framework 1.7.9 Manual

Die folgende Identität beinhaltet den Code für das erstellen eines Benutzerzugang indem Zend_OpenId_Provider::register verwendet wird. Das Link-Element mit rel="openid.server" zeigt auf das eigene Serverscript. Wenn diese Identität zu einer OpenID-aktivierten Seite übertragen wird, wird eine Authentifizierung zu diesem Server durchgeführt.

Der Code vor <html> ist nur ein Trick der automatisch den Benutzerzugang erstellt. Man benötigt solchen Code nicht wenn echte Identitäten verwendet werden.

hasUser(TEST_ID)) {
    $server->register(TEST_ID, TEST_PASSWORD);
}
?>

Das folgende Identitäts-Serverscript behandelt zwei Arten von Anfragen von OpenID-aktivierten Sites (for Assoziation und Authentifizierung). Beide von Ihnen werden von der gleichen Methode Zend_OpenId_Provider::handle behandelt. Die zwei Argumente für Zend_OpenId_Provider sind die URLs des Logins und der Vertrauten Seite, welche die Interaktion vom End-Benutzer abfragen.

Bei Erfolg gibt die Methode Zend_OpenId_Provider::handle einen String zurück der zur OpenID-aktivierten Seite zurück übergeben werden sollte. Bei einem fehler wird false zurückgegeben - in diesem Beispiel wird eine HTTP 403 Antwort zurückgegeben. Man erhält diese wenn man versucht diese Seite von einem Web-Browser zu öffnen, weil diese eine nicht-OpenID konforme Anfrage sendet.

$server = new Zend_OpenId_Provider("example-8-login.php",
                                   "example-8-trust.php");
$ret = $server->handle();
if (is_string($ret)) {
    echo $ret;
} else if ($ret !== true) {
    header('HTTP/1.0 403 Forbidden');
    echo 'Verboten';
}

Es ist eine gute Idee eine sichere Verbindung (HTTPS) hierfür zu verwenden und speziell für die folgenden interaktiven Scripts, um den Diebstahl von Passwörtern zu verhindern.

Das folgende Skript implementiert einen Login Schirm für einen Identitäts Server Zend_OpenId_Provider und leitet zu dieser Seite weiter wenn ein benötigter Benutzer sich noch nicht eingeloggt hat. Auf dieser Seite gibt der Benutzer ein Passwort an um sich anzumelden.

Es sollte das Passwort "123" verwendet werden das wärend einer trickreichen Benutzerregistration von einem Identitäts Skript verwendet wurde.

Bei Abschicken, ruft das Skript Zend_OpenId_Provider::login mit der akzeptierten End-Benutzer Identität und dem Passwort auf, und leitet anschließend zum Hauptskript des Identitäts Providers zurück. Bei Erfolg baut Zend_OpenId_Provider::login eine Session zwischen dem End-Benutzer und dem Identitäts-Provider auf und speichert die Informationen über eingeloggte Benutzer. Damit benötigen alle folgenden Anfragen vom gleichen End-Benutzer keine Login-Prozedur (selbst wenn diese von einer anderen OpenID aktivierten Web-Seite kommen).

Es ist zu beachten das die Session nur zwischen den End-Benutzer und dem Identitäts-Provider existiert. OpenID aktivierte Seiten wissen nichts darüber.

login($_POST['openid_identifier'],
                   $_POST['openid_password']);
    Zend_OpenId::redirect("example-8.php", $_GET);
}
?>


OpenID Login

Name:

Passwort:

 

Der Fakt das der Benutzer angemeldet ist bedeutet nicht das die Authentifizierung erfolgreich sein muß. Der Benutzer kann entscheiden ob er dem speziellen OpenID aktivierten Seite vertraut oder nicht. Der folgende Vertrauens-Schirm erlaubt dem End-Benutzer diese Wahl zu treffen. Diese Wahl kann nur für die aktuelle Anfrage oder für "immer" gemacht werden. Im letzteren Fall werden Informationen über vertrauenswürdige/nicht vertrauenswürdige Seiten in einer internen Datenbank gespeichert und alle folgenden Authentifizierungs Anfragen von dieser Seite werden automatisch gehandhabt, ohne einer Interaktion des Benutzers.

allowSite($server->getSiteRoot($_GET));
        }
        $server->respondToConsumer($_GET);
    } else if (isset($_POST['deny'])) {
        if (isset($_POST['forever'])) {
            $server->denySite($server->getSiteRoot($_GET));
        }
        Zend_OpenId::redirect($_GET['openid_return_to'],
                              array('openid.mode'=>'cancel'));
    }
}
?>

Eine Seite die sich als
getLoggedInUser());?>">
getLoggedInUser());?>
Ihre Identitäts URL ist.


für immer

Produktive OpenID Server unterstützen normalerweise die einfache Registrierungs Erweiterung die es Benutzern erlaubt nach einigen Informationen über Benutzer vom Provider nachzufragen. In dem Fall wird die Vertraute Seite normalerweise mit der Möglichkeit erweitert benötigte Felder anzugeben oder Benutzerprofile auszuwählen.

Es ist möglich alle Provider Funktionalitäten in einem Skript zusammen zu kombinieren. In diesem Fall werden Login und Vertraute URLs unterdrückt, und Zend_OpenId_Provider nimmt an das diese auf die gleiche Seite zeigen mit einem zusätzlichen "openid.action" GET Argument.

Das folgende Beispiel ist nicht komplett. Es bietet kein GUI für End-Benutzer wie es sein sollte, aber es führt automatisches Login und Vertrauen durch. Das wird getan um das Beispiel zu vereinfachen, und echte Server müssen Code von den vorherigen Beispielen inkludieren.

$server = new Zend_OpenId_Provider();

define("TEST_ID", Zend_OpenId::absoluteURL("example-9-id.php"));
define("TEST_PASSWORD", "123");

if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
    isset($_GET['openid_action']) &&
    $_GET['openid_action'] === 'login') {
    $server->login(TEST_ID, TEST_PASSWORD);
    unset($_GET['openid_action']);
    Zend_OpenId::redirect(Zend_OpenId::selfUrl(), $_GET);
} else if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
    isset($_GET['openid_action']) &&
    $_GET['openid_action'] === 'trust') {
    unset($_GET['openid_action']);
    $server->respondToConsumer($_GET);
} else {
    $ret = $server->handle();
    if (is_string($ret)) {
        echo $ret;
    } else if ($ret !== true) {
        header('HTTP/1.0 403 Forbidden');
        echo 'Verboten';
    }
}

Wenn dieses Beispiel mit dem vorherigen Beispiel das in verschiedene Seiten aufgeteilt ist, vergleicht sieht man, zusätzlich zum Dispatch Code, nur einen Unterschied - unset($_GET['openid_action']). Dieses unset ist notwendig um die nächste Anfrage zum Haupthandler zu routen.

Die folgende Identitäts Seite führt wieder einen Trick aus. Sie erstelt einen neuen Benutzerzugang und assoziiert Ihn mit einem Profil (Spitzname und Passwort). Solche Tricks werden im wirklichen Leben nicht benötigt wo sich End-Benutzer auf OpenID Servern registrieren und Ihre Profile eintragen, aber die Implementierung dieser GUI ist nicht Bestandteil dieses Handbuches.

hasUser(TEST_ID)) {
    $server->register(TEST_ID, TEST_PASSWORD);
    $server->login(TEST_ID, TEST_PASSWORD);
    $sreg = new Zend_OpenId_Extension_Sreg(array(
        'nickname' =>'test',
        'email' => 'test@test.com'
    ));
    $root = Zend_OpenId::absoluteURL(".");
    Zend_OpenId::normalizeUrl($root);
    $server->allowSite($root, $sreg);
    $server->logout();
}
?>

Diese Identität sollte der OpenID-aktivierten Seite übergeben werden (verwende das einfache Registrierungs Erweiterung Beispiel aus dem vorherigen Kapitel) und es wird das folgende OpenID Server Skript verwenden.

Es ist eine Variation des vorherigen "Alles zusammen" Beispiels. Es verwendet den gleichen automatischen Login Mechanismus, aber es enthält keinen Code für die Vertrauens-Seite. Der Benutzer vertraut bereits "für immer" im Beispielskript. Dieses Vertrauen wurde von der Zend_OpenId_Provider::alowSite Methode im Identitäts Skript durchgeführt. Die gleiche Methode assoziiert Profile mit der vertrauten Seite und dieses Profil wird automatisch bei einer Anfrage von dieser vertrauten URL zurückgegeben.

Die einzige Sache die notwendig ist um die einfache Registrierungs Erweiterung funktionsfähig zu machen ist die Übergabe eines Objekts von Zend_OpenId_Extension_Sreg als zweites Argument zu Zend_OpenId_Provider::handle.

$server = new Zend_OpenId_Provider();
$sreg = new Zend_OpenId_Extension_Sreg();

define("TEST_ID", Zend_OpenId::absoluteURL("example-10-id.php"));
define("TEST_PASSWORD", "123");

if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
    isset($_GET['openid_action']) &&
    $_GET['openid_action'] === 'login') {
    $server->login(TEST_ID, TEST_PASSWORD);
    unset($_GET['openid_action']);
    Zend_OpenId::redirect(Zend_OpenId::selfUrl(), $_GET);
} else if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
    isset($_GET['openid_action']) &&
    $_GET['openid_action'] === 'trust') {
   echo "UNTRUSTED DATA" ;
} else {
    $ret = $server->handle(null, $sreg);
    if (is_string($ret)) {
        echo $ret;
    } else if ($ret !== true) {
        header('HTTP/1.0 403 Forbidden');
        echo 'Verboten';
    }
}

Das erstellen von OpenID Servern ist eine seltenere Aufgabe als das erstellen von OpenID-aktivierten Sites, weswegen dieses Handbuch nicht versucht alle Zend_OpenId_Provider Features abzudecken wie es für Zend_OpenId_Consumer getan wurde.

Zwei Worte darüber was zusätzlich geboten wird:

• ein Set von Methoden um End-Benutzer GUI Interfaces zu erstellen die dem Benutzer erlauben sich zu registrieren, und Ihre vertrauten Seiten und Profile zu managen.

• einen Abstraktions Speicher Layer um Informationen über Benutzer, Ihre Seiten und Profile zu speichern. Es werden auch Assoziationen zwischen Providern und OpenID-aktivierten Seiten gespeichert. Dieser Layer ist ähnlich dem von Zend_OpenId_Consumer. Er verwendet standardmäßg auch den Dateispeicher kann aber mit anderen Implementationen abgeleitet werden.

• einen Abtraktions Benutzer-Assoziierungs Layer der Web-Browser von End-Benutzern mit eingeloggten Identitäten verknüpfen kann.

Zend_OpenId_Provider versucht nicht alle möglichen Features abzudecken die von OpenID Servern implementiert werden können (wie digitale Zertifikate), kann aber einfach durch Zend_OpenId_Extensions oder durch Erstellung einer Kind-Klasse erweitert werden.