Discussion :

[itak media]

Bonsoir,

je souhaiterais permettre à des users de mon site Drupal 10 de s'authentifier sur un site non-drupal avec les codes d'accès de drupal. Et que drupal réalise l'authentification.

Dans mon fichier protégé, je mets ce code pas satisfaisant) :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
<?php
session_start();
require_once 'vendor/autoload.php';
 
use League\OAuth2\Client\Provider\GenericProvider;
 
$provider = new GenericProvider([
    'clientId'                => 'mondrupal_client_id',
    'clientSecret'            => 'mondrupal_client_secret',
    'redirectUri'             => 'http://pasdrupal.net/callback.php',
    'urlAuthorize'            => 'https://mondrupal.org/oauth/authorize',
    'urlAccessToken'          => 'https://mondrupal.org/oauth/token',
    'urlResourceOwnerDetails' => 'https://mondrupal.org/user',
    'scopes'                  => 'mon_scope',
]);
 
// Vérifiez si le paramètre 'code' est présent dans l'URL
if (!isset($_GET['code'])) {
    exit('Erreur d\'authentification : code non fourni.');
}
 
try {
    // Récupérez le jeton d'accès en échangeant le code d'autorisation
    $accessToken = $provider->getAccessToken('authorization_code', [
        'code' => $_GET['code']
    ]);
 
    // Stockez le jeton d'accès dans la session
    $_SESSION['access_token'] = $accessToken;
 
    // Vérifiez si le paramètre 'redirect' est présent dans l'URL
    $redirect = isset($_GET['redirect']) ? $_GET['redirect'] : 'default-page.php';
 
    // Redirigez vers la page de redirection dynamique après la récupération du jeton d'accès
    header('Location: http://pasdrupal.net/' . $redirect);
    exit();
} catch (\Exception $e) {
    // Gérez les exceptions et affichez un message d'erreur approprié
    echo "Erreur d'authentification : " . $e->getMessage();
    exit();
}
?>

Que mettre dans le fichier callback.php ?

[mathieu]

dans callback.php vous allez recevoir l'information de l'utilisateur qui est connecté sur le 1er site.
et partir de ces informations, le code devra vérifier qu'elles viennent bien du 1er site et pas d'un utilisateur malveillant. cela se fait souvent en vérifiant la signature associée aux données, je pense que vous trouverez la méthode à utiliser dans la documentation de la bibliothèque.