一、写在前面

以前做过好几个站点涉及到社会化登录,主要使用的是 google,facebook。项目均采用 laravel 开发,使用官方插件 "laravel/socialite" 就 ok 了,如果遇到 socialite 中没有的 provider,则需前往 provider manager 仓库安装具体的 provider 了。

作为 web 项目,三方登录的 package 是比较成熟的,一般来说在网页上创建一个三方登录的按钮,跳转到第三方平台上登录,成功之后会跳转到项目站点预设的 callback 路径,在 callback 方法中做用户在三方平台登录之后在本站的认证操作。

近期,电商站点做 app,需要适配 app,一共要接入三个站点:facebook,google 和 paypal,本来以为 social 包就能处理,结果发现差异较大,浪费了不少的功夫,因此这里做点小结。

二、Facebook 登录

facebook 是最容易对接的,也是直接能用 socialite 包拿到用户数据的,app 那边登录之后,可以拿到 access_token,并传输到后端,后端拿到 access_token 后直接可以拿到用户的基本数据:

$userInfo = Socialite::driver($provider)->userFromToken($code);
$id = $userInfo->getId();
$name = $userInfo->getName();
$email = $userInfo->getEmail() ? $userInfo->getEmail() : $id;

三、google 登录

socialite 完全不能用,网上的文章也不靠谱。参考 google 官方文档 下载 google sdk 解决。

在所有工作开展之前,需要到 google 平台上增加项目,并对项目进行设置,此处略去不表。

用户在 google 登录之后,获得了名叫 id_token 的东西,客户端将 id_token 发送到后台服务器,服务器使用 id_token 获取用户信息。

这个 id_token,是和 access_token 是类似的东西,有效期内可以使用多次,还可以通过浏览器进行测试:

https://oauth2.googleapis.com/tokeninfo?id_token=XYZ123

在多次尝试 socialite 库解析用户数据无效之后,通过浏览器测试确认了 token 所携带的数据内容,也确认了 socilalite 代码所提供的方法不能解析出用户,不知道为何同样是 oauth2,为何 google 对于 android 和 web 提供的方法不一致。

此处需要使用到 google 的 PHP sdk:composer require google/apiclient:"^2.0"

$client_id = config('service.google.client_id');

$client = new Google_Client(['client_id' => $client_id]);

try {
    $payload = $client->verifyIdToken($code);
  
    if ($payload) {
        return $payload;
  } else {
      throw new UnauthorizedHttpException("the token is invalid", 40110);
  }
} catch (\Throwable $exception) {
    throw new UnauthorizedHttpException("error when verify token from google", 40111);
}

四、paypal 登录

socialite 完全不能用,网上的文章也不靠谱。经过反复折腾,看了paypal 无数的 API 文档,SDK 使用说明,没有找到对路的办法,最终参考 paypal connect 官方文档解决,就是一个字,累。

在没有找到 Paypal connect 文档之前,在 paypal 的各种 api 文档中都检索不出头绪来。每次还需要客户端给生成一个 token,想着拿到的应该类似 facebook 或者 google 的 access_token,用 socialite 库直接读出来就好,万万没想到,这货却是一个 auth_code,需要在 server 端到 paypal server 上换一个 access_token,然后才能拿到用户信息。

先是按照官方文档的例子,用 postman 测试了下,确认了 api,最终使用了 PayPal-PHP-SDK,不过这货也是一个坑,官方已经设置为 readonly 了,基本上已经弃用,方法中的 api 接口都是旧的,不过请求的格式没太大变化,因此可以继承一下官方类来换取 access_token 和解析用户数据,等有空了,可以自己实现并维护一个库。

获取 access_token:

public static function getAccessToken($params, $apiContext)
    {
        static $allowedParams = array('grant_type' => 1, 'code' => 1);

        if (!array_key_exists('grant_type', $params)) {
            $params['grant_type'] = 'authorization_code';
        }

        $clientId = $apiContext->getCredential()->getClientId();
        $clientSecret = $apiContext->getCredential()->getClientSecret();

        $json = self::executeCall(
            "/v1/oauth2/token",
            "POST",
            http_build_query(array_intersect_key($params, $allowedParams)),
            array(
                'Content-Type' => 'application/x-www-form-urlencoded',
                'Authorization' => 'Basic ' . base64_encode($clientId . ":" . $clientSecret)
            ),
            $apiContext
        );

        $data = json_decode($json);

        return $data->access_token;
    }

获取用户信息:

public static function getUserInfo($params, $apiContext = null)
{
    static $allowedParams = array('schema' => 1);

    $params = is_array($params) ? $params : array();

    if (!array_key_exists('schema', $params)) {
        $params['schema'] = 'paypalv1.1';
    }

    $requestUrl = "/v1/identity/oauth2/userinfo?"
        . http_build_query(array_intersect_key($params, $allowedParams));

    $json = self::executeCall(
        $requestUrl,
        "GET",
        "",
        array(
            'Authorization' => "Bearer " . $params['access_token'],
            'Content-Type' => 'x-www-form-urlencoded'
        ),
        $apiContext
    );

    $ret = new UserInfo();

    $ret->fromJson($json);

    return $ret;
}

顺便,参考官方文档,写了个简单的页面,并在页面上放置一个跳转按钮,自己获取 auth_code, 这样再也不用依赖客户端的同事给生 code 了,大大简化了开发和测试流程。

五、结尾

小小的功能,写了两天,我也是醉了,究其原因有如下三点:

第一,是思想中过于依赖 socialite 库,以为这货考虑了 android 这样的客户端请求的情形,结果浪费了不少测试的事件。

第二,不得不吐槽 paypal 的官方文档了,可能因为 paypal 主要是做支付的,在 developer.paypal.com 中检索内容,很难检索到相关内容,最终还是产品的同事给了个链接

导入一个已存在的安卓项目,由于项目的开发环境和本地的开发环境可能存在不一致,导致导入项目时编译报错,遇到这样的问题,该如何解决呢?

基本的思路就是,修改要导入的安卓项目的配置文件,使其和本地的开发环境配置保持一致。

主要的配置文件有三个:

  1. 项目根目录下的 build.gradle
  2. app 目录下的 build.gradle
  3. gradle/wrapper/gradle-wrapper.properties

修改好之后,进行编译即可。当然随着项目的不同,可能导入的项目由于缺少依赖还会遇到一些错误,只能具体问题具体的解决了。

你不应该使用root用户在容器中启动程序,或者类似的特权用户,你应该在Dockerfile中创建一个普通用户,并且制定一个特别的uid和gid,然后用这个账户来启动进程,这样更加容易限制容器访问资源的权限。

预览

根据Linux的最低权限原则,一个程序应该只能访问他运行所必须的资源。这是一件非常严肃的事情。运行在系统上可能是一个病毒也可能是一个包含bug的程序,会对他能访问到的资源造成破坏。为了保证系统的安全稳定,你应该限制应用能够访问的资源和能够获取的权限。

许多容器化的程序并不要求使用root权限,docker本身也不要求使用root权限,所以编写一个安全和服用的镜像,不能期望容器将来会使用root权限运行,为了易于控制权限,你也不应该在镜像中使用root。

为什么

在使用Docker的时候,你需要清楚,容器中的进程和宿主机器上的其进程是没有区别的,他们使用的是同一个内核,受同一个内核管理权限,如果说容器中的进程是root权限,那么也就意味这这个进程在宿主机器上其实也是root权限。如果资源被挂载到容器中,那么意味着容器中的进程能够获取,修改,删除这些资源,因为它是root权限。

如果你要创建一个镜像,那么你就应该在Dockerfile中创建一个默认的用户,而不是使用默认的root。这样更加容器控制权限。我们举一个root容器的例子,看一下他的危害:

我在宿主机器的root目录下创建一个隐私文件,我使用root用户创建,只有root权限的用户才能访问这个文件

[email protected]:~$ sudo -s
[email protected]:~# cd /root
[email protected]:~# echo "top secret stuff" >> ./secrets.txt 
[email protected]:~# chmod 0600 secrets.txt
[email protected]:/root# ls -l
total 4
-rw------- 1 root root 17 Sep 26 20:29 secrets.txt
[email protected]:/root# exit
exit
[email protected]:~$ cat /root/secrets.txt
cat: /root/secrets.txt: Permission denied

现在我退出root,使用一个普通的用户来创建一个Dockerfile:

FROM debian:stretch
CMD ["cat", "/tmp/secrets.txt"]
然后我编译运行这个镜像,并且将我们的隐私文件挂载进去:

[email protected]:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
top secret stuff

即便我在宿主机器上的容器是marc,但是在容器中,我已经拥有root权限了,能够访问宿主机上root权限才能访问的资源文件。这也就是说任何人在DockerHub上下载这镜像,都会暴露自己的特权文件(当然,还取决于你怎么它)。

建议
我建议在创建Dockerfile的时候创建一个普通用户,并且指定uid和gid。使用这个普通用户来启动容器。

FROM <base image>
RUN groupadd -g 999 appuser && \
    useradd -r -u 999 -g appuser appuser
    USER appuser
    ... <rest of Dockerfile> ...

在上面的例子,我们能够非常用户控制容器用户和用户的权限。

更具上面的例子,我修改一下Dockerfile

FROM debian:stretch
RUN groupadd -g 999 appuser && \
    useradd -r -u 999 -g appuser appuser
    USER appuser
    CMD ["cat", "/tmp/secrets.txt"]

再次上之前那样运行容器

[email protected]:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
cat: /tmp/secrets.txt: Permission denied

这次隐私文件得到了保护。

复用其他容器

Docker容器非常有好的地方是他可以能够复用,你能够使用FROM来使用一个已经存在的容器。你能够创建你自己的用户,或者是root用户(前提是你确实需要root用户)。如果某些镜像中默认使用了root用户,你可以在自己的Dockerfile中覆盖这个设置,使用你自己的创建的用户。

全新安装 laravel6,访问时报错:

Declaration of Symfony\Component\Translation\TranslatorInterface::setLocale($locale) must be 

compatible with Symfony\Contracts\Translation\LocaleAwareInterface::setLocale(string $locale)

查看资料发现该问题和环境有关系,解决办法如下:

修改 composer.json 文件, 添加:

"require": {
     ...
     "symfony/translation": "4.3.8",
}

运行

composer update

即可~