https://assets.digitalocean.com/articles/oauth/abstract_flow.png

ระบบยืนยันตัวบุคคลกลาง

ระบบยืนยันตัวบุคคลกลาง (URUC-Passport) ทำหน้าที่ในการตรวจสอบการเข้าใช้งานระบบต่างๆ โดยใช้เทคโนโลยี "Oauth2.0" ที่จะทำให้ผู้ใช้งานสามารถเข้าใช้งานระบบต่างๆ ได้โดยใช้บัญชีผู้ใช้และรหัสผ่านเดียว ( Single Sign-On ) นอกจากนี้ยังอำนวยความสะดวกต่อการเข้าถึงบริการแบบรวมศูนย์ ผ่านระบบเว็บไซต์กลางของมหาวิทยาลัย (URU-InfoCenter)

ไคลเอ้นท์ไม่ต้องพัฒนาระบบจัดการผู้ใช้งาน
ผู้ใช้ไม่ต้องจำรหัสผ่านหลายชุด
ผู้ใช้ไม่ต้องเสียเวลากรอกข้อมูลเพื่อลงทะเบียนขอใช้บริการ
ผู้ใช้ไม่ต้องเสียเวลาล็อกอินซ้ำกับบริการที่จะเข้าใช้งาน

การพัฒนา SSO ด้วยโปรโตคอล OAuth2.0

OAuth เป็นโปรโตคอลที่ใช้ในการร้องขอข้อมูลจาก Remote Server ซึ่งไม่มีการจำกัดประเภทของข้อมูล สามารถเป็นได้ทั้งรูปภาพ, ไฟล์เสียง หรือข้อมูลที่เป็น Text โดยทางมหาวิทยาลัยได้นำโปรโตคอลนี้มาปรับใช้ใน การส่งข้อมูลส่วนตัวของผู้ใช้งานระบบยืนยันตัวบุคคลกลาง (URUC-Passport) เพื่อให้ได้ข้อมูลกลับมาในรูปแบบของ JSON ดังนั้นผู้ใช้ระบบและแอพพลิเคชันที่เชื่อมต่อจะสามารถพัฒนาชุดคำสั่งหรือระบบ OAuth Consumer เพื่อใช้ในการร้องขอข้อมูลผู้ใช้จากระบบยืนยันตัวบุคคลกลาง (OAuth Provider) ซึ่งมีขั้นตอนดังนี้

ระบบผู้ใช้บริการร้องขอ "Request Token" จาก OAuth Provider
OAuth Provider ส่ง "Request Token" กลับมาให้ระบบที่ร้องขอ
ผู้ใช้ตัดสินใจว่าจะอนุญาติให้ระบบที่ร้องขอสามารถเข้าถึงข้อมูลของผู้ใช้จากศูนย์กลางได้หรือไม่
OAuth Provider ส่งข้อมูลผู้ใช้กลับไปยังระบบบริการที่ร้องขอ
ระบบบริการร้องขอได้รับรหัสสำหรับการเชื่อมต่อข้อมูล “Access Token”
OAuth Provider แลก “Request Token” เป็น “Access Token” และส่งกลับมา
ระบบบริการที่ร้องขอได้รับ “Access Token” ดึงข้อมูลของผู้ใช้

การเชื่อมต่อกับระบบยืนยันตัวบุคคลกลาง

Requesting Tokens
การร้องขอโทเค้น คือการเปลี่ยนเส้นทางสำหรับการอนุญาตให้ใช้แอพพลิเคชันต้นทาง นักพัฒนาใช้รหัสของแอพพลิเคชัน (Client ID)
ที่ได้จากการขอรหัสอนุญาต (authorization code)และโทเค็นการเข้าถึง (access token) จากแอปพลิเคชันของคุณครั้งแรก
แอปพลิเคชันที่ใช้งานทำการเปลี่ยนเส้นทางไปยังเส้นทาง /oauth/authorize ดังนี้:


Converting Authorization Codes To Access Tokens
การแปลงรหัสการอนุญาตเพื่อเข้าถึงโทเค็น
หากผู้ใช้อนุมัติคำขอการอนุญาตพวกเขาจะถูกเปลี่ยนเส้นทางกลับไปยังแอปพลิเคชั่นที่ใช้งาน
ควรตรวจสอบพารามิเตอร์สถานะกับค่าที่เก็บไว้ก่อนการเปลี่ยนเส้นทาง
หากพารามิเตอร์สถานะตรงกับแอพพลิเคชันต้นทางควรออกคำขอ POST เพื่อขอโทเค็นการเข้าถึง
คำขอควรมีรหัสการอนุญาตที่ออกโดยแอปพลิเคชันของคุณเมื่อผู้ใช้อนุมัติ


Retrieving Tokens
การเรียกโทเค็น เป็นการอนุญาตให้ใช้ข้อมูลของแอพพลิชันที่ได้รับการตรวจสอบความถูกต้องแล้ว
ก่อนที่แอปพลิเคชันต้นทางสามารถออกโทเค็นผ่านการอนุญาตของสมาชิก จะะต้องสร้างข้อมูลรับรอง
ในการดึงโทเค็นโดยใช้ประเภท Bearer ทำการร้องขอไปยังปลายทาง oauth/token


Passing The Access Token
การใช้งานผ่านโทเค็นการเข้าถึง (Access Token)
เมื่อเรียกเส้นทางที่ได้อนุญาตให้เข้าถึง โดย Passport ผู้ใช้ API ของแอปพลิเคชันควรระบุโทเค็นการเข้าถึง
ในส่วนหัวการอนุญาตของเส้นทางการเข้าถึง ดังตัวอย่างเมื่อใช้ไลบรารี Guzzle HTTP:

  Requesting Tokens
Route::get('/redirect', function (Request $request) {
  $request->session()->put('state', $state = Str::random(40));
  $query = http_build_query([
      'client_id' => 'client-id',
      'redirect_uri' => 'http://example.com/callback',
      'response_type' => 'code',
      'scope' => '',
      'state' => $state,
  ]);
  return redirect('http://your-app.com/oauth/authorize?'.$query);
});

Converting Authorization Codes To Access Tokens
Route::get('/callback', function (Request $request) {
    $state = $request->session()->pull('state');

    throw_unless(
        strlen($state) > 0 && $state === $request->state,
        InvalidArgumentException::class
    );

    $http = new GuzzleHttp\Client;

    $response = $http->post('http://your-app.com/oauth/token', [
        'form_params' => [
            'grant_type' => 'authorization_code',
            'client_id' => 'client-id',
            'client_secret' => 'client-secret',
            'redirect_uri' => 'http://example.com/callback',
            'code' => $request->code,
        ],
    ]);

    return json_decode((string) $response->getBody(), true);
});

Retrieving Tokens
$guzzle = new GuzzleHttp\Client;
$response = $guzzle->post('http://your-app.com/oauth/token', [
    'form_params' => [
        'grant_type' => 'client_credentials',
        'client_id' => 'client-id',
        'client_secret' => 'client-secret',
        'scope' => 'your-scope',
    ],
]);
return json_decode((string) $response->getBody(), true)['access_token'];

Passing The Access Token
$response = $client->request('GET', '/api/user', [
    'headers' => [
        'Accept' => 'application/json',
        'Authorization' => 'Bearer '.$accessToken,
    ],
]);

JSON response

  {
      "token_type": "Bearer",
      "expires_in": 31536000,
      "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImp0aSI6IjUjU7ucA...",
      "refresh_token": "def502007fafdd6b26b6bb7190f5f4dc4d2c93c6dd645249a55e..."
  }

User response

  {
      "id": 1,
      "name": "phanuwat",
      "email": "mr.phanuwat@gmail.com",
      "email_verified_at": null,
      "created_at": "2020-01-30 14:51:23",
      "updated_at": "2020-01-30 14:51:23"
  }

บริการศูนย์ข้อมูลผู้ใช้ (SSO)

ระบบยืนยันตัวบุคคลกลาง

การพัฒนา SSO ด้วยโปรโตคอล OAuth2.0

การเชื่อมต่อกับระบบยืนยันตัวบุคคลกลาง

Requesting Tokens

Converting Authorization Codes To Access Tokens

Retrieving Tokens

Passing The Access Token