pgfqe6ch8/app/controllers/oauth_controller.rb

#encoding: utf-8
class OauthController < ApplicationController
  require
  include ApplicationHelper

  before_filter :user_setup
  before_filter :require_login, only: [:authorize]


  skip_before_filter :verify_authenticity_token, only: [:token]


  def index
    render 'oauth/index', layout: false
  end


  # 客户端申请认证的URI，包含以下参数：
  #
  # response_type：表示授权类型，必选项，此处的值固定为”code”
  # client_id：表示客户端的ID，必选项
  # redirect_uri：表示重定向URI，可选项
  # scope：表示申请的权限范围，可选项
  # state：表示客户端的当前状态，可以指定任意值（最好是随机字符串），认证服务器会原封不动地返回这个值，可防止CSRF攻击
  #
  # 这个页显示授权页，如果授权成功，返回redirect_uri+code
  #
  #
  # 服务器回应客户端的URI，包含以下参数：
  #
  # code：表示授权码，必选项。该码的有效期应该很短，通常设为10分钟，客户端只能使用该码一次， 否则会被授权服务器拒绝。该码与客户端ID和重定向URI，是一一对应关系。
  # state：如果客户端的请求中包含这个参数，认证服务器的回应也必须一模一样包含这个参数。
  def authorize
    begin

      #参数检查
      raise "response_type只能为code" unless params["response_type"] == "code"
      raise "client_id为必传项" unless params["client_id"].present?
      raise "redirect_uri为必传项" unless params["redirect_uri"].present?


      config = OauthConfig.where(client_id: params["client_id"], redirect_uri: params["redirect_uri"]).first
      raise "client_id或redirect_uri不正确" unless config


      @data = params

      if params[:gen_code]
        ## 检查通过，生成code
        oauth = Oauth.create!(client_id: config.client_id,
                              client_secret: config.client_secret,
                              redirect_uri: config.redirect_uri,
                              user_id: User.current.id
        )
        code = oauth.gen_code

        redirect_to params["redirect_uri"] + "?code=#{code}&state=#{params[:state]}"
      else
        render 'oauth/authorize', :layout => 'forge'
      end

    rescue => e
      logger.error e
      render :text => e.message
    end

  end

  def test_callback
    # 申请 token
    #
    client_id = "88d893c5a345313e7b8c6fcf23d3d024ee08d5e41ce120c3448b6eea77d8de30"
    client_secret = "e9240cc5fc913741db5aea93f2986a8ea0631bb67f7c00e41e491b95d9619e64"
    redirect_uri = "http://localhost:3000/oauth/cb"
    url = "http://127.0.0.1:3000/oauth/token?grant_type=authorization_code&code=#{params['code']}&redirect_uri=#{redirect_uri}&client_id=#{client_id}&client_secret=#{client_secret}"

    render text: url
  end


  # 客户端向认证服务器申请令牌的HTTP请求，包含以下参数：
  #
  # grant_type：表示使用的授权模式，必选项，此处的值固定为”authorization_code”。
  # code：表示上一步获得的授权码，必选项。
  # redirect_uri：表示重定向URI，必选项，且必须与A步骤中的该参数值保持一致。
  # client_id：表示客户端ID，必选项。
  # client_secret: 表示客户端密钥，必选项。
  #
  #
  # 认证服务器核对了授权码和”重定向URI”，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。
  #
  # 认证服务器发送的HTTP回复，包含以下内容：
  #
  # access_token：表示访问令牌，必选项。
  # token_type：表示令牌类型，该值大小写不敏感，必选项，可以是bearer类型或mac类型。
  # expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。
  # refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选项。
  # scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。
  def token
    begin
      res = {}
      if params[:grant_type] == 'authorization_code'

        raise "code必传" unless params["code"]
        raise "client_id必传" unless params["client_id"]
        raise "client_secret必传" unless params["client_secret"]

        raise "code错误或已超时" unless Oauth.code_valid?(params["code"])

        oauth = Oauth.auth_code(params["code"], params["client_id"], params["client_secret"])
        raise "认证不通过" unless oauth

        ## 生成 token
        #
        oauth.gen_token

        oauth.reload

        res = {
            access_token: oauth.access_token,
            token_type: 'bearer',
            expires_in: oauth.token_expires_in,
            refresh_token: oauth.refresh_token
        }

      end

      render json: res.to_json

    rescue => e
      logger.error e
      render text: e.message
    end
  end


  def get_userinfo
    user = Oauth.auth(params["access_token"])

    user_info = {}
    if user
      user_info = {
          token: user.id,
          login: user.login,
          avatar_url: "https://openi.org.cn/images/" + url_to_avatar(user),
          name: user.show_name,
          email: user.mail,
          allow: (user.login == "guange"||user.phone=='15607313899') ? 1 : 0
      }
    end

    render json: user_info.to_json
  end


  private

  def require_login
    require "base64"
    if !User.current.logged?
      redirect_to '/login?back_url64=' + Base64.urlsafe_encode64(request.original_url)
    end
  end

  include Trustie::Http

end