1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
|
<?xml version="1.0" encoding="UTF-8"?>
<!-- EN-Revision: 24249 -->
<!-- Reviewed: no -->
<sect1 id="zend.openid.provider">
<title>Zend_OpenId_Provider</title>
<para>
<classname>Zend_OpenId_Provider</classname> kann verwendet werden um OpenID Server zu
implementieren. Dieses Kapitel bietet Beispiele die Demonstrieren wie ein sehr einfacher
Server erstellt werden kann. Für die Implementierung eines produktiven OpenId Servers (wie
zum Beispiel <ulink url="http://www.myopenid.com">www.myopenid.com</ulink>) kann es aber
notwendig sein mit komplexeren Problemen umzugehen.
</para>
<sect2 id="zend.openid.provider.start">
<title>Schellstart</title>
<para>
Das folgende Beispiel beinhaltet Code für das Erstellen eines Benutzerzugang indem
<classname>Zend_OpenId_Provider::register</classname> verwendet wird. Das Link-Element
mit <command>rel="openid.server"</command> zeigt auf das eigene Serverscript. Wenn diese
Identität zu einer OpenID-aktivierten Seite übertragen wird, wird eine Authentifizierung
zu diesem Server durchgeführt.
</para>
<para>
Der Code vor dem <html> Tag ist nur ein Trick der automatisch den Benutzerzugang
erstellt. Man benötigt solch einen Code nicht wenn echte Identitäten verwendet werden.
</para>
<example id="zend.openid.provider.example-1">
<title>Die Identität</title>
<programlisting language="php"><![CDATA[
<?php
// eine Testidentität erstellen
define("TEST_SERVER", Zend_OpenId::absoluteURL("example-8.php"));
define("TEST_ID", Zend_OpenId::selfURL());
define("TEST_PASSWORD", "123");
$server = new Zend_OpenId_Provider();
if (!$server->hasUser(TEST_ID)) {
$server->register(TEST_ID, TEST_PASSWORD);
}
?>
<html><head>
<link rel="openid.server" href="<?php echo TEST_SERVER;?>" />
</head><body>
<?php echo TEST_ID;?>
</body></html>
]]></programlisting>
</example>
<para>
Das folgende Identitäts-Serverscript behandelt zwei Arten von Anfragen von
OpenID-aktivierten Sites (for Assoziation und Authentifizierung). Beide von Ihnen werden
von der gleichen Methode behandelt: <classname>Zend_OpenId_Provider::handle</classname>.
Die zwei Argumente für <classname>Zend_OpenId_Provider</classname> Konstruktor sind die
<acronym>URL</acronym>s des Logins und der Vertrauten Seite, welche die Eingabe des
End-Benutzers abfragen.
</para>
<para>
Bei Erfolg gibt die Methode <classname>Zend_OpenId_Provider::handle</classname> einen
String zurück der zur OpenID-aktivierten Seite zurück übergeben werden sollte. Bei einem
Fehler wird <constant>FALSE</constant> zurückgegeben. Dieses Beispiel gibt eine
<acronym>HTTP</acronym> 403 Antwort zurück wenn
<classname>Zend_OpenId_Provider::handle</classname> fehlschlägt. Man erhält diese
Antwort wenn man dieses Skript mit einem Web-Browser öffnet, weil es eine nicht-OpenID
konforme Anfrage sendet.
</para>
<example id="zend.openid.provider.example-2">
<title>Einfacher Identitäts Provider</title>
<programlisting language="php"><![CDATA[
$server = new Zend_OpenId_Provider("example-8-login.php",
"example-8-trust.php");
$ret = $server->handle();
if (is_string($ret)) {
echo $ret;
} else if ($ret !== true) {
header('HTTP/1.0 403 Forbidden');
echo 'Verboten';
}
]]></programlisting>
</example>
<note>
<para>
Es ist eine gute Idee eine sichere Verbindung (HTTPS) für diese Skripte zu verwenden
- und speziell für die folgenden interaktiven Scripte - um den Diebstahl von
Passwörtern zu verhindern.
</para>
</note>
<para>
Das folgende Skript implementiert einen Login Schirm für einen Identitäts Server indem
<classname>Zend_OpenId_Provider</classname> verwendet wird und leitet zu dieser Seite
weiter wenn ein benötigter Benutzer sich noch nicht eingeloggt hat. Auf dieser Seite
gibt der Benutzer sein Passwort an um sich anzumelden.
</para>
<para>
Es sollte das Passwort "123" verwendet werden das im obigen Identitäts Skript verwendet
wurde.
</para>
<para>
Bei Abschicken, ruft das Skript <classname>Zend_OpenId_Provider::login</classname> mit
der akzeptierten Benutzer Identität und dem Passwort auf, und leitet anschließend zum
Hauptskript des Identitäts Providers zurück. Bei Erfolg baut
<classname>Zend_OpenId_Provider::login</classname> eine Session zwischen dem Benutzer
und dem Identitäts-Provider auf und speichert die Informationen über den Benutzer der
nun angemeldet ist. Alle folgenden Anfragen vom gleichen Benutzer benötigen keine
Login-Prozedur mehr - selbst wenn diese von einer anderen OpenID aktivierten Web-Seite
kommen.
</para>
<note>
<para>
Es ist zu beachten das die Session nur zwischen den End-Benutzer und dem
Identitäts-Provider existiert. OpenID aktivierte Seiten wissen nichts darüber.
</para>
</note>
<example id="zend.openid.provider.example-3">
<title>Einfacher Login Schirm</title>
<programlisting language="php"><![CDATA[
<?php
$server = new Zend_OpenId_Provider();
if ($_SERVER['REQUEST_METHOD'] == 'POST' &&
isset($_POST['openid_action']) &&
$_POST['openid_action'] === 'login' &&
isset($_POST['openid_identifier']) &&
isset($_POST['openid_password'])) {
$server->login($_POST['openid_identifier'],
$_POST['openid_password']);
Zend_OpenId::redirect("example-8.php", $_GET);
}
?>
<html>
<body>
<form method="post">
<fieldset>
<legend>OpenID Login</legend>
<table border=0>
<tr>
<td>Name:</td>
<td>
<input type="text"
name="openid_identifier"
value="<?php echo htmlspecialchars($_GET['openid_identity']);?>">
</td>
</tr>
<tr>
<td>Passwort:</td>
<td>
<input type="text"
name="openid_password"
value="">
</td>
</tr>
<tr>
<td> </td>
<td>
<input type="submit"
name="openid_action"
value="login">
</td>
</tr>
</table>
</fieldset>
</form>
</body>
</html>
]]></programlisting>
</example>
<para>
Der Fakt das der Benutzer jetzt angemeldet ist bedeutet nicht das die Authentifizierung
notwendigerweise erfolgreich sein muß. Der Benutzer kann entscheiden das er der
betreffenden OpenID aktivierten Seite nicht vertraut. Der folgende Vertrauens-Schirm
erlaubt dem Endbenutzer diese Wahl zu treffen. Diese Wahl kann entweder nur für die
aktuelle Anfrage oder für "immer" gemacht werden. Im zweiten Fall werden Informationen
über vertrauenswürdige/nicht vertrauenswürdige Seiten in einer internen Datenbank
gespeichert, und alle folgenden Authentifizierungs Anfragen von dieser Seite werden
automatisch gehandhabt ohne einer Interaktion des Benutzers.
</para>
<example id="zend.openid.provider.example-4">
<title>Einfacher Vertrauens Schirm</title>
<programlisting language="php"><![CDATA[
<?php
$server = new Zend_OpenId_Provider();
if ($_SERVER['REQUEST_METHOD'] == 'POST' &&
isset($_POST['openid_action']) &&
$_POST['openid_action'] === 'trust') {
if (isset($_POST['allow'])) {
if (isset($_POST['forever'])) {
$server->allowSite($server->getSiteRoot($_GET));
}
$server->respondToConsumer($_GET);
} else if (isset($_POST['deny'])) {
if (isset($_POST['forever'])) {
$server->denySite($server->getSiteRoot($_GET));
}
Zend_OpenId::redirect($_GET['openid_return_to'],
array('openid.mode'=>'cancel'));
}
}
?>
<html>
<body>
<p>Eine Seite die sich als
<a href="<?php echo htmlspecialchars($server->getSiteRoot($_GET));?>
<?php echo htmlspecialchars($server->getSiteRoot($_GET));?>
</a>
identifiziert hat uns nach Bestätigung gefragt ob
<a href="<?php echo htmlspecialchars($server->getLoggedInUser());?>">
<?php echo htmlspecialchars($server->getLoggedInUser());?>
</a>
ihre Identitäts URL ist.
</p>
<form method="post">
<input type="checkbox" name="forever">
<label for="forever">für immer</label><br>
<input type="hidden" name="openid_action" value="trust">
<input type="submit" name="allow" value="Allow">
<input type="submit" name="deny" value="Deny">
</form>
</body>
</html>
]]></programlisting>
</example>
<para>
Produktive OpenID Server unterstützen normalerweise die einfache Registrierungs
Erweiterung die es Benutzern erlaubt einige Informationen über ein Benutzerformular beim
Provider nachzufragen. In diesem Fall kann die Vertraute Seite erweitert werden um die
Eingabe von angefragten Feldern zu erlauben oder ein spezielles Benutzerprofil
auszuwählen.
</para>
</sect2>
<sect2 id="zend.openid.provider.all">
<title>Kombinierte Skripte</title>
<para>
Es ist möglich alle Provider Funktionalitäten in einem Skript zusammen zu kombinieren.
In diesem Fall werden Login und Vertraute <acronym>URL</acronym>s unterdrückt, und
<classname>Zend_OpenId_Provider</classname> nimmt an das diese auf die gleiche Seite
zeigen mit einem zusätzlichen "openid.action" <constant>GET</constant> Argument.
</para>
<note>
<para>
Das folgende Beispiel ist nicht komplett. Es bietet kein GUI für End-Benutzer wie es
sein sollte, aber es führt automatisches Login und Vertrauen durch. Das wird getan
um das Beispiel zu vereinfachen, und echte Server müssen Code von den vorherigen
Beispielen inkludieren.
</para>
</note>
<example id="zend.openid.provider.example-5">
<title>Alles zusammen</title>
<programlisting language="php"><![CDATA[
$server = new Zend_OpenId_Provider();
define("TEST_ID", Zend_OpenId::absoluteURL("example-9-id.php"));
define("TEST_PASSWORD", "123");
if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
isset($_GET['openid_action']) &&
$_GET['openid_action'] === 'login') {
$server->login(TEST_ID, TEST_PASSWORD);
unset($_GET['openid_action']);
Zend_OpenId::redirect(Zend_OpenId::selfUrl(), $_GET);
} else if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
isset($_GET['openid_action']) &&
$_GET['openid_action'] === 'trust') {
unset($_GET['openid_action']);
$server->respondToConsumer($_GET);
} else {
$ret = $server->handle();
if (is_string($ret)) {
echo $ret;
} else if ($ret !== true) {
header('HTTP/1.0 403 Forbidden');
echo 'Verboten';
}
}
]]></programlisting>
</example>
<para>
Wenn man dieses Beispiel mit den vorherigen Beispielen vergleicht, die in einzelne
Seiten aufgeteilt sind, sieht man zusätzlich zum Dispatch Code, nur einen Unterschied:
<methodname>unset($_GET['openid_action'])</methodname>. Dieser Aufruf von
<methodname>unset()</methodname> ist notwendig um die nächste Anfrage zum Haupthandler
zu routen.
</para>
</sect2>
<sect2 id="zend.openid.provider.sreg">
<title>Einfache Registrierungs Erweiterung (SREG)</title>
<para>
Wieder ist der Code vor dem <html> Tag nur ein Trick um die Funktionalität zu
demonstrieren. Er erstellt einen neuen Benutzerzugang und assoziiert Ihn mit einem
Profil (Spitzname und Passwort). Solche Tricks werden bei ausgelieferten Providern nicht
benötigt wo sich End Benutzer auf OpenID Servern registrieren und Ihre Profile
eintragen. Die Implementierung dieses GUI würde den Rahmen dieses Handbuches sprengen.
</para>
<example id="zend.openid.provider.example-6">
<title>Identität mit Profil</title>
<programlisting language="php"><![CDATA[
<?php
define("TEST_SERVER", Zend_OpenId::absoluteURL("example-10.php"));
define("TEST_ID", Zend_OpenId::selfURL());
define("TEST_PASSWORD", "123");
$server = new Zend_OpenId_Provider();
if (!$server->hasUser(TEST_ID)) {
$server->register(TEST_ID, TEST_PASSWORD);
$server->login(TEST_ID, TEST_PASSWORD);
$sreg = new Zend_OpenId_Extension_Sreg(array(
'nickname' =>'test',
'email' => 'test@test.com'
));
$root = Zend_OpenId::absoluteURL(".");
Zend_OpenId::normalizeUrl($root);
$server->allowSite($root, $sreg);
$server->logout();
}
?>
<html>
<head>
<link rel="openid.server" href="<?php echo TEST_SERVER;?>" />
</head>
<body>
<?php echo TEST_ID;?>
</body>
</html>
]]></programlisting>
</example>
<para>
Die Identität sollte jetzt der OpenID-aktivierten Webseite übergeben werden (verwende
das einfache Registrierungs Erweiterung Beispiel aus dem vorherigen Kapitel) und sie
sollte das folgende OpenID Server Skript verwenden.
</para>
<para>
Dieses Skript ist eine Variation des Skripts im "Alles zusammen" Beispiel. Es verwendet
den gleichen automatischen Login Mechanismus, aber es enthält keinen Code für die
Vertrauens-Seite. Der Benutzer hat dem Beispielskript bereits für immer vertraut. Dieses
Vertrauen wurde durch den Aufruf der
<methodname>Zend_OpenId_Provider::allowSite()</methodname> Methode im Identitäts Skript
hergestellt. Die gleiche Methode assoziiert das Profil mit der vertrauten
<acronym>URL</acronym>. Dieses Profil wird automatisch für eine Anfrage von der
vertrauten <acronym>URL</acronym> zurückgegeben.
</para>
<para>
Um die einfache Registrierungs Erweiterung funktionsfähig zu machen ist einfach die
Übergabe einer Instanz von <classname>Zend_OpenId_Extension_Sreg</classname> als zweites
Argument der <methodname>Zend_OpenId_Provider::handle()</methodname> Methode.
</para>
<example id="zend.openid.provider.example-7">
<title>Provider mit SREG</title>
<programlisting language="php"><![CDATA[
$server = new Zend_OpenId_Provider();
$sreg = new Zend_OpenId_Extension_Sreg();
define("TEST_ID", Zend_OpenId::absoluteURL("example-10-id.php"));
define("TEST_PASSWORD", "123");
if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
isset($_GET['openid_action']) &&
$_GET['openid_action'] === 'login') {
$server->login(TEST_ID, TEST_PASSWORD);
unset($_GET['openid_action']);
Zend_OpenId::redirect(Zend_OpenId::selfUrl(), $_GET);
} else if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
isset($_GET['openid_action']) &&
$_GET['openid_action'] === 'trust') {
echo "UNTRUSTED DATA" ;
} else {
$ret = $server->handle(null, $sreg);
if (is_string($ret)) {
echo $ret;
} else if ($ret !== true) {
header('HTTP/1.0 403 Forbidden');
echo 'Verboten';
}
}
]]></programlisting>
</example>
</sect2>
<sect2 id="zend.openid.provider.else">
<title>Sonst noch was?</title>
<para>
Das Erstellen von OpenID Providern ist eine viel seltenere Aufgabe als die Erstellung
von OpenID-aktivierten Sites, weswegen dieses Handbuch nicht alle
<classname>Zend_OpenId_Provider</classname> Features so ausführlich abdeckt wie es für
<classname>Zend_OpenId_Consumer</classname> getan wurde.
</para>
<para>
Zusammenfassend enthält <classname>Zend_OpenId_Provider</classname>:
</para>
<itemizedlist>
<listitem>
<para>
Ein Set von Methoden um ein End-Benutzer GUI zu Erstellen das es Benutzern
erlauben sich zu registrieren und Ihre vertrauten Seiten und Profile zu managen.
</para>
</listitem>
<listitem>
<para>
Einen abstrakten Speicherlayer um Informationen über Benutzer, Ihre Seiten und
Ihre Profile zu speichern. Es speichert auch Assoziationen zwischen Providern
und OpenID-aktivierten Seiten. Dieser Layer ist ähnlich dem der
<classname>Zend_OpenId_Consumer</classname> Klasse. Er verwendet standardmäßg
auch den Dateispeicher, kann aber mit anderen Backends abgeleitet werden.
</para>
</listitem>
<listitem>
<para>
Einen Abtraktions Benutzer-Assoziierungs Layer der Web-Browser von Benutzern mit
eingeloggten Identitäten verknüpfen kann.
</para>
</listitem>
</itemizedlist>
<para>
Die <classname>Zend_OpenId_Provider</classname> Klasse versucht nicht alle möglichen
Features abzudecken die von OpenID Servern implementiert werden können, z.B. wie
digitale Zertifikate, kann aber einfach erweitert werden durch
<classname>Zend_OpenId_Extension</classname>s oder durch standardmäßige
Objektorientierte Erweiterungen.
</para>
</sect2>
</sect1>
|
