Discuz! Passport的SSO接口技术文档(转)

转载自：http://hi.baidu.com/mmpritty/item/c6f69d40d2c85990823ae133

从 Discuz! 4.0.0 RC4 版本开始，Discuz! 内嵌了一个独特的 Passport（通行证） 接口，利用此接口，用户将很 容易将论坛与其余应用程序整合，而实现统一登陆与退出、用户数据共享、积分同步等功能。能够整合的应用程序包括内容管理系统（CMS）、商城系统、游戏系 统等等，如您对这方面功能有兴趣或有需求，请继续阅读本文档。

Discuz! Passport 的优势

Discuz! Passport 系统使用了 Discuz! 独有的技术，并不等同于以往使用过的一些方法，与传统的实现方式相比，具有（不限于）如下优点：

· 基于私有密匙的低相关性可逆加密算法，配合 MD5 校检码技术，使得暴力破解或伪造几乎不可能。

· 应用程序可与论坛放置于不一样的服务器及不一样的域名下。可基于不一样操做系统、不一样程序语言和不一样数据库平台，具有真正的平台无关性。

· 不须要任何形式的数据库链接、或强制把两套应用程序的数据放在同一数据库甚至同一数据表中。论坛与应用程序都有各自的用户数据表，只是在须要时进行无缝同步操做。

· 对应用程序的代码改动简便易行，可最快速的完成应用程序与论坛间的整合。

Discuz! Passport 的局限

您在开始利用 Discuz! Passport 进行二次开发时，须要了解这个系统的局限性，以对将来的工做进行正确的评估与安排。

· 只能工做在用户密码不加密、可逆加密或 MD5 加密的状况下，不然论坛后台没法登陆。

· 只能与一种应用程序关联，即二方关联。不能实现三方关联或与更多的应用程序进行关联。

· 应用程序需具备独立的注册、登陆、退出页面和连接，不然须要自行修改论坛中的相应表单或程序。

· 因为论坛的注册人数可能不少，例如百万级以上，且应用程序和论坛间的用户数据是同步的，所以要求应用程序可以稳定的负载大量用户的访问。

Discuz! Passport 原理与流程：

假设已设置以下变量或参数

· 挂接 Discuz! Passport 的应用程序假设为一套 PHP 语言编写的 CMS 系统

· Discuz! 的 URL 为 http://www.myforums.com

· 应用程序的 URL 为 http://www.mywebsite.com

· 应用程序的注册页面为 http://www.mywebsite.com/register.php

· 应用程序的登陆页面为 http://www.mywebsite.com/login.php?action=login

· 应用程序的退出页面为 http://www.mywebsite.com/login.php?action=logout

开启通行证后的用户登陆流程

· 如 果用户在论坛点击“登陆”，则转向到事先设置好的应用程序登陆页面（http://www.mywebsite.com /login.php?action=login），并在登陆页面的 URL 中加入参数 forward（加入 forward 后的连接例 如 http://www.mywebsite.com/login.php?action=login&forward=http: //www.myforums.com/index.php），用于在登陆后将用户导向到指定的 URL。

· 应用程序收到此请求后，按照惯例生成表单，并增长一个表单变量 ，将 GET 方式传递过来的 forward 参数经过表单进行传递。

· 用户在应用程序的表单中填写登陆信息，并提交到应用程序的登陆验证程序。应用程序验证用户提交的用户名和密码的合法性： 

o 若是不经过：提示用户名密码错误，要求其返回上一页从新填写。

o 若是经过，须要进行以下操做： 

§ 设置自身 Cookie 或 Session，使得应用程序自身处于登陆状态。

§ 检查表单中是否提交了 forward 变量，若有，则意味着登陆请求多是由论坛而来，将此变量传递到后面的请求中。如没有，自行生成 forward 变量，使得论坛登陆后可以跳转回到应用程序中。

§ 通 过 header('Location: http://www.myforums.com/api /passport.php?action=login&auth=xxx&forward=http://yyy& verify=zzz') 的方式，将登陆请求传递到论坛进行处理。其中 auth 用来将用户信息与资料以特定的格式，加密传递给论 坛，forward 用于告知论坛 Passport API 完成自身操做后转向到的 URL 地址，verify 用于验证前面两个变量的有效性。 auth、forward、verify 格式与结构将在后面进行说明。

· Discuz! Passport API 在接收到由应用程序经过 header() 提交过来的请求后，进行以下操做： 

o 根据verify 判断 auth 和 forward 变量是否合法，如合法则继续，不然终止。

o 将 auth 根据既定算法解密，并还原成数组，数组的内容与格式将在后面进行说明。根据数组中的内容，检查此用户是否存在。如存在，则根据上述数组中的内容 UPDATE 论坛中相应的用户资料。如不存在，则使用数组中的信息 INSERT 到论坛用户资料表中。

o 论坛设置 Cookie 或 Session，使得论坛自身处于登陆状态。

o 根据应用程序反馈的 forward 值，经过 header('Location: http://xxx') 的形式将页面跳转到 forward 变量指定的 URL。

· 至此，登陆流程结束

· 开启通行证后的用户退出流程

· 如 果用户在论坛点击“退出”，则转向到事先设置好的应用程序退出页面（http://www.mywebsite.com /login.php?action=logout），并在登陆页面的URL中加入参数 forward （例如 http: //www.mywebsite.com/login.php?action=login&forward=http: //www.myforums.com/index.php），用于在退出后将用户导向到指定的 URL。

· 应用程序收到此请求后，清除自身 Cookie 或 Session，使得应用程序自身处于非登陆状态。

· 检查是否提交了 forward 变量，若有，则意味着登陆请求多是由论坛而来，将此变量传递到后面的请求中。如没有，自行生成 forward 变量，使得论坛登陆后可以跳转回到应用程序中。

· 通 过 header('Location: http://www.myforums.com/api /passport.php?action=logout&forward=http://yyy&verify=zzz') 的方式， 将退出请求传递到论坛进行处理。其中 forward 用于告知论坛 Passport API 完成自身操做后转向到的 URL 地 址，verify 用于验证 forward 变量的有效性。forward、verify 格式与结构将在后面进行说明。

· Discuz! Passport API 在接收到由应用程序经过 header() 提交过来的请求后，进行以下操做： 

o 根据 verify 判断 forward 变量是否合法，如合法则继续，不然终止。

o 清楚论坛的 Cookie 或 Session，使得论坛自身处于非登陆状态。

o 根据应用程序反馈的 forward 值，经过 header('Location: http://xxx') 的形式将页面跳转到 forward 变量指定的 URL。

· 至此，退出流程结束。

· 开启通行证后的用户注册流程

· 如 果用户在论坛点击“注册”，则转向到事先设置好的应用程序注册页面（http://www.mywebsite.com/register.php），并 在注册页面的 URL 中加入参数 forward（例如 http://www.mywebsite.com /register.php?forward=http://www.myforums.com/index.php），用于在注册后将用户导向到指定 的 URL

· 应用程序收到此请求后，按照惯例生成表单，并增长一个表单变量 ，将 GET 方式传递过来的 forward 参数经过表单进行传递

· 用户在应用程序的表单中填写注册信息，并提交到应用程序的注册验证程序。应用程序验证用户提交信息的完整性和合法性： 

o 若是不经过：提示其问题所在，要求其返回上一页从新填写

o 若是经过，须要进行以下操做： 

§ 将用户资料插入到应用程序自身用户数据库中

§ 设置自身 Cookie 或 Session，使得应用程序自身处于登陆状态

§ 检查表单中是否提交了 forward 变量，若有，则意味着注册请求多是由论坛而来，将此变量传递到后面的请求中。如没有，自行生成 forward 变量，使得论坛注册后可以跳转回到应用程序中

§ 通 过 header('Location: http://www.myforums.com/api /passport.php?action=login&auth=xxx&forward=http://yyy& verify=zzz') 的方式，将注册请求传递到论坛进行处理。其中 auth 用来将用户信息与资料以特定的格式，加密传递给论 坛，forward 用于告知论坛 Passport API 完成自身操做后转向到的 URL 地址，verify 用于验证前面两个变量的有效性。 auth、forward、verify 格式与结构将在后面进行说明

· Discuz! Passport API 在接收到由应用程序经过 header() 提交过来的请求后，进行以下操做： 

o 根据 verify 判断 auth 和 forward 变量是否合法，如合法则继续，不然终止

o 将 auth 根据既定算法解密，并还原成数组，数组的内容与格式将在后面进行说明。根据数组中的内容，检查此用户是否存在。如存在，则根据上述数组中的内容 UPDATE 论坛中相应的用户资料。如不存在，则使用数组中的信息 INSERT 到论坛用户资料表中

o 论坛设置 Cookie 或 Session，使得论坛自身处于登陆状态

o 根据应用程序反馈的 forward 值，经过 header('Location: http://xxx') 的形式将页面跳转到 forward 变量指定的 URL

· 至此，注册流程结束 

本部分中，加下划线显示的部分，是须要对您的应用程序进行更改的部分，事实上，这部分更改会很是容易和方便。

Discuz! Passport 参数规格与加密方式：

私有密匙(passport_key)

由 于一些关键参数采用了 GET 方式进行传递，即使两次 header 跳转并不会直接将连接显示在外面，但咱们仍然对关键的参数进行了加密，私有密匙共 有两个做用：其一是供下面提到的可逆加密算法（AzDGCrypt）进行数据的加解密。其二是生成不可逆验证字串（verify），以防止关键信息被伪 造。

在启用 Discuz! Passort 后，您须要在应用程序和 Discuz! 后台配置两处私有密匙，这两处的内容必须彻底相 同，这样应用程序和论坛之间才能正常通讯。私有密匙决定了加密算法的强度，所以密匙长度请不要小于 10 个字节，并包含字母、数字和符号，以保证系统的 安全。

加密算法

Discuz! Passport 采 用 Azerbaijan Development Group（AzDG）开发的可逆加密算法 AzDGCrypt 对用户资料进行加密。如提供正确的 私有密匙，可经过本加密算法对数据进行加密及解密，所以只要保证私有密匙的保密性，便可确保数据传递过程当中的安全。如下 为 Discuz! Passport 中应用到的可逆加密算法，为了生成能够被 Discuz! Passport 正确解密的 auth 字串，须要 将以下函数放置于应用程序中，并可在登陆及注册时调用。

passport_encrypt()是加密函数，用法为 passport_encrypt($txt, $key)，其中 $txt 是待加密的字串，$key 是私有密匙。

passport_decrypt()是解密函数，用法为 passport_decrypt($txt, $key)，其中 $txt 是加密后的字串，$key 是私有密匙。

/**

 * Passport 加密函数

 *

 * @param  string  等待加密的原字串

 * @param  string  私有密匙(用于解密和加密)

 *

 * @return string  原字串通过私有密匙加密后的结果

 */

 function passport_encrypt($txt, $key) {

  // 使用随机数发生器产生 0~32000 的值并 MD5()

  srand((double)microtime() * 1000000);

  $encrypt_key = md5(rand(0, 32000));

  // 变量初始化

  $ctr = 0;

  $tmp = '';

  // for 循环，$i 为从 0 开始，到小于 $txt 字串长度的整数

  for($i = 0; $i < strlen($txt); $i++) {

   // 若是 $ctr = $encrypt_key 的长度，则 $ctr 清零

   $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;

   // $tmp 字串在末尾增长两位，其第一位内容为 $encrypt_key 的第 $ctr 位，

   // 第二位内容为 $txt 的第 $i 位与 $encrypt_key 的 $ctr 位取异或。而后 $ctr = $ctr + 1

   $tmp .= $encrypt_key[$ctr].($txt[$i] ^ $encrypt_key[$ctr++]);

  }

  // 返回结果，结果为 passport_key() 函数返回值的 base64 编码结果

  return base64_encode(passport_key($tmp, $key));

 }

 /**

 * Passport 解密函数

 *

 * @param  string  加密后的字串

 * @param  string  私有密匙(用于解密和加密)

 *

 * @return string  字串通过私有密匙解密后的结果

 */

 function passport_decrypt($txt, $key) {

  // $txt 的结果为加密后的字串通过 base64 解码，而后与私有密匙一块儿，

  // 通过 passport_key() 函数处理后的返回值

  $txt = passport_key(base64_decode($txt), $key);

  // 变量初始化

  $tmp = '';

  // for 循环，$i 为从 0 开始，到小于 $txt 字串长度的整数

  for ($i = 0; $i < strlen($txt); $i++) {

   // $tmp 字串在末尾增长一位，其内容为 $txt 的第 $i 位，

   // 与 $txt 的第 $i + 1 位取异或。而后 $i = $i + 1

   $tmp .= $txt[$i] ^ $txt[++$i];

  }

  // 返回 $tmp 的值做为结果

  return $tmp;

 }

 /**

 * Passport 密匙处理函数

 *

 * @param  string  待加密或待解密的字串

 * @param  string  私有密匙(用于解密和加密)

 *

 * @return string  处理后的密匙

 */

 function passport_key($txt, $encrypt_key) {

  // 将 $encrypt_key 赋为 $encrypt_key 经 md5() 后的值

  $encrypt_key = md5($encrypt_key);

  // 变量初始化

  $ctr = 0;

  $tmp = '';

  // for 循环，$i 为从 0 开始，到小于 $txt 字串长度的整数

  for($i = 0; $i < strlen($txt); $i++) {

   // 若是 $ctr = $encrypt_key 的长度，则 $ctr 清零

   $ctr = $ctr == strlen($encrypt_key) ? 0 : $ctr;

   // $tmp 字串在末尾增长一位，其内容为 $txt 的第 $i 位，

   // 与 $encrypt_key 的第 $ctr + 1 位取异或。而后 $ctr = $ctr + 1

   $tmp .= $txt[$i] ^ $encrypt_key[$ctr++];

  }

  // 返回 $tmp 的值做为结果

  return $tmp;

 }

 /**

 * Passport 信息(数组)编码函数

 *

 * @param  array  待编码的数组

 *

 * @return string  数组经编码后的字串

 */

 function passport_encode($array) {

  // 数组变量初始化

  $arrayenc = array();

  // 遍历数组 $array，其中 $key 为当前元素的下标，$val 为其对应的值

  foreach($array as $key => $val) {

   // $arrayenc 数组增长一个元素，其内容为 "$key=通过 urlencode() 后的 $val 值"

   $arrayenc[] = $key.'='.urlencode($val);

  }

 /**

 * Passport 信息(数组)编码函数

 *

 * @param  array  待编码的数组

 *

 * @return string  数组经编码后的字串

 */

 function passport_encode($array) {

  // 数组变量初始化

  $arrayenc = array();

  // 遍历数组 $array，其中 $key 为当前元素的下标，$val 为其对应的值

  foreach($array as $key => $val) {

   // $arrayenc 数组增长一个元素，其内容为 "$key=通过 urlencode() 后的 $val 值"

   $arrayenc[] = $key.'='.urlencode($val);

  }

  // 返回以 "&" 链接的 $arrayenc 的值(implode)，例如 $arrayenc = array('aa', 'bb', 'cc', 'dd')，

  // 则 implode('&', $arrayenc) 后的结果为 ”aa&bb&cc&dd"

  return implode('&', $arrayenc);

 }

passport_encode() 是将数组转换合成为字串形式存储的函数：变量名和数值之间用等号链接，若是数值包含特殊字符，使用 urlencode() 将其转码。多个变量间使 用 & 分割。例如原始数组内容为 array('username' => 'abc', 'email' =& gt; 'my+discuz@gmail.com')，通过 passport_encode() 编码后结果为 username=abc& email=my%2Bdiscuz%40gmail.com。

信息字串(auth)

应用程序在收到登陆或注册请求，并读取到用户资料后，请按以下的要求将用户资料及部分其余信息存放于一个数组之中。数组各键值的含义为：

· cookietime
应 用程序保存该用户登陆记录的时间，可为非负整数，单位秒，Discuz! Passport 收到此参数后，会设置一样的 Cookie 过时时间，这样 应用程序和论坛能够保证一样的登陆有效性。如不传递此参数，或参数数值不正确，则 Discuz! Passport 按照 0 设置 Cookie 有 效期。

· Time

应用程序所在服务器当前时间（9 或 10 位数字 Unix Timestamp），此参数用 于 Discuz! 所在服务器当前时间进行比对，若是早于当前时间超过若干秒（取决于 Discuz! Passport 中的“验证字串有效期”设 定），则视为本 auth 内容无效，避免此URL被人得知后可能的安全问题。

· username
 用户登陆或注册的用户名。Discuz! 的注册用户名规则为：

o 长度 1~15 个字符，不得为空

o 不得为 c:\con\con、游客(gb2312 或 big5 内码)、Guest

o 不得包含 (,)、(*)、(")、([TAB])、([SPACE])、([\r])、([\n])、(<)、(>)、(&)其中之一
若是应用程序提交过来的用户名不符合上述规则，Passport 将自动去处其中的特殊字符，将过滤后的结果写入数据库中。

· password

用户密码经 MD5 不可逆加密后的值。若是此密码使用非 MD5 加密，则应用程序和 Passport 不能正常关联和使用。

· Email

用户 Email 地址（50 个字节之内）。

· Isadmin

当前用户是不是应用程序的最高管理员，1=是，0=否。最高管理员的权限，将同步到论坛中去，其余下级管理员的身份将不进行同步，而由最高管理员分别在不一样的系统中进行设置。

· Credits

当前用户在应用程序中的积分值，范围 -2147483648 到 2147483647，若是 Discuz! Passport 中设置了目标积分项，则用户登陆时，Passport 会把应用程序传递过来的 credits 值同步到指定的论坛的指定积分项目中

· Gender

当前用户的性别，1=男，2=女，0=未知。

· Bday

当前用户的生日，格式 yyyy-mm-dd。

· Regip

当前用户注册时的 IP 地址。

· Regdate

当前用户注册的时间（9 或 10 位数字 Unix Timestamp）。

· Nickname

当前用户的昵称（30 个字节之内，如传递此参数，必须打开相应用户组的昵称权限，不然用户在控制面板中提交我的资料时，会致使昵称失效）。

· Site

当前用户的主页地址（包含http://）。

· Qq

当前用户的 QQ 号码。

· ICQ

当前用户的 ICQ 帐号。

· Msn

当前用户的 MSN Messenger 帐号。

· Yahoo

当前用户的 Yahoo! Messanger 帐号。

以 上参数中，以黑体下划线显示的 time、username、password、email 是必须传递的参数，缺乏上述参数 Passport 将没法 正常工做。其余的参数是可选的，若是不传递某些参数，则 Passport 会进行识别，自动不更新没有传递的参数所在的字段。全部数值，请提供原始值， 而非通过反斜线转义（addslashes）后的结果。

把上述信息存放于数组中，假定为以下的形式：

$member = array

  (

  'cookietime' => 31536000,

  'time'  => 1117415922,

  'username' => 'Abcd',

  'password' => 'e2fc714c4727ee9395f324cd2e7f331f',

  'email'  => 'abcd@efgh.com',

  'credits' => 123,

  'regip'  => '210.120.222.111',

  'regdate' => '1012752000',

  'msn'  => 'email@hotmail.com'

  );

将其通过以下的加密变换，便可获得 auth 的值：

$auth = passport_encrypt(passport_encode($member), $passport_key);

其中，passport_encode() 在前文已作了说明，用于将数组内容存放于特定的格式，$passport_key 是私有密匙。

切记：因为 $auth 中可能含有等号、加号等特殊字符，请将 $auth 通过 rawurlencode() 编码后再在 URL 中传递，不然可能会产生问题。

导向字串(forward)

导向字串用于通知 Discuz! Passport 在完成自身操做后，返回到哪个 URL 地址，例如 http://www.myforums.com/forumdisplay.php?fid=2。若是 forward 为空，则默认导向到应用程序的首页

切记：因为 $forward 中可能含有冒号、问号、等号等特殊字符，请将 $forward 通过 rawurlencode() 编码后再在 URL 中传递，不然可能会产生问题。

验证字串(verify)

验证字串用户检验 auth 和 forward 两个参数的合法性，避免非法构造参数进行破坏的可能。不管 auth 和 forward 变量是否存在，验证字串（verify）的值均为：

$verify = md5($action.$auth.$forward.$passport_key);

其 中，$action 是当前执行的 Passport 操做，如 login 等等；$auth 是用户信息加密后，并 经 rawurlencode() 以前的内容。$forward 是经 rawurlencode() 前的导向字串、$passport_key 是 私有密匙。若是 verify 的值不匹配，则 Passport 拒绝进行下一步操做。

Discuz! Passport 设置与启用：

内置关联

Discuz! 以 战略合做的方式，与业内知名的产品实现了 Passport 关联，目前内置了 SiteEngine 建站引擎 （http://www.siteengine.net）和 Shopex 通用型网上商店系统（http://www.shopex.cn）的相关接 口，这样用户只须透过在两套软件中简单的设置，便可开启这些关联。

其余应用程序

因为 Discuz! Passport 的高可扩展性和平台无关性，使得您能够参照前文的说明，稍稍改动小部分的代码，便将任何 B/S 模式的应用程序与 Discuz! 进行关联。

参数设置

您能够在 Discuz! 系统设置中，看到相应的通行证设置功能，在 Discuz! 合做伙伴的软件中，也能够找到这些设置入口。相关的操做已比较简单，在此再也不详细叙述。

特别说明

如 果您先运营了论坛，后与其余应用程序启用了 Passport 关联，因为以前论坛中的用户数据没有同步，您须要先写一个导入程序，将论坛的用户数据导入 到应用程序的用户表中，不然以往在论坛注册的用户将没法经过 Passport 登陆。已成功关联后新注册的用户无此问题。

在开启 了 Discuz! 通行证后，您仍然能够经过 logging.php?action=login 这个连接来登陆论坛，以备调试之用，但页面上显示的 连接将改成应用程序的登陆 URL。注意：开启通行证后，建议您经过 Discuz! 选项关闭论坛自己的注册功能，以避免用户经过论坛注册而产生没法同步 的问题。

您能够在 Discuz! 的 api/passport.php 找到 Discuz! Passport 的所有源程序，您也许经过他更好的理解 Passport 的原理，更快的完成应用程序与 Discuz! 之间的整合。

典型错误提示：

Illegal request

非 法请求，当验证字串 verify 不匹配时会产生此提示。多是应用程序与 Discuz! 配置的私有密匙不一样，或是经过 URL 传递前，未将必要 的参数（如 auth、forward 等）进行 URL 编码，也有多是使用了通过 URL 编码的参数值用来计算 verify 的 md5 值造 成。以 PHP 语言为例，正确的代码应当是相似于的以下的格式：

$action  = 'login';

 $auth  = passport_encrypt(passport_encode($autharray), $passport_key);

 $forward  = 'http://www.discuz.net/index.php';

 $verify  = md5($action.$auth.$forward.$passport_key);

 header("Location: http://www.discuz.net/api/passport.php".

  "?action=$action".

  "&auth=".rawurlencode($auth).

  "&forward=".rawurlencode($forward).

  "&verify=$verify");

Lack of required parameters

auth 内容解密后，缺乏必要的信息 time、username、password、email。

Request expired

请求过时。当前服务器时间与应用程序提交过来的 time 之差大于 Discuz! Passport 中设置的请求有效期。多是使用以往的代码非法尝试，也多是因为应用程序和 Discuz! 论坛所在的两台服务器，时间设置有误形成。

Invalid action

没有指定 Passport 所执行的 action。