Autenticazione Google OAuth2 in PHP

Come integrare il login Google OAuth2 nelle nostre applicazioni web PHP. Si tratta del login Google che può essere selezionato al posto della normale registrazione tramite email e password.

 

sign_up_with_google_button-60e629008d4a889a84cf284b08a9998b

 

Molto più pratico di una registrazione normale, l’utente non deve scegliere una password o inserire dati particolari: l’unica cosa che deve fare è dare il consenso all’applicazione web per l’utilizzo dei suoi dati personali (di solito nome, email e foto profilo, mai la password).

Nelle normali registrazioni l’utente deve inserire un nome utente ed una password, questi dati vengono memorizzati dall’applicazione web e sono richiesti durante il login.

Con OAuth2 l’utente non deve fare nulla di tutto ciò: è sufficiente autorizzare l’applicazione web una volta e automaticamente otterrà l’accesso.

Il protocollo OAuth2 è disponibile anche per molti altri social network:

 

social-login

 

Il funzionamento è abbastanza semplice: l’utente clicca sul bottone “Log in con Google” e viene portato alla pagina di autorizzazione. Se l’utente approva il sito riceve un codice di autorizzazione. Questo codice di autorizzazione viene poi usato dall’applicazione stessa per richiedere il token di accesso tramite il server OAuth2 Google. Il token può essere usato dal sito stesso per recuperare i dati utente direttamente dal server Google (nome, email, foto profilo etc…).

 

webflow

 

Possiamo quindi memorizzare il token in un cookie e i dati utente (e in particolare l’id utente) nel nostro database: quando l’utente si ricollegherà useremo il cookie per recuperare di nuvo l’id utente tramite apposita API. Se l’id utente corrisponde a quello memorizzato nel database significa che l’utente si era già registrato.

Vediamo allora come integrare il login OAuth2 in una applicazione web PHP.

Il nostro script PHP ha bisogno di alcune credenziali per accedere al server OAuth2 di Google. Per prima cosa quindi occorre creare tali credenziali dalla Google Developer Console.

Setup credenziali OAuth2

Apriamo la sezione su Google+ API e generiamo un nuovo set di credenziali:

 

Screen shot 2015-11-15 at 12.28.32 PM

 

Dobbiamo inserire un nome di riferimento (ad esempio “OAuth2 per il mio sito web”) e il redirect url che sarà l’URL al quale l’utente ritornerà automaticamente non appena avrà dato il consenso sul form di login Google.

Per far funzionare il nostro script di esempio dovremo puntare il redirect URL direttamente alla URL dove abbiamo caricarto lo script (lo script di esempio non funziona in locale!).

 

Screen shot 2015-11-15 at 12.35.34 PM

 

Annotiamoci il Client ID e il Client Secret.

Script di esempio per login Google Oauth2 in PHP

Lo script è veramente semplice. Si compone di un singolo file “googleauth.php” che contiene il codice di login vero e proprio e una cartella “Google” che contiene la libreria OAuth2 Google.

Per prima cosa includiamo la libreria OAuth2 e settiamo le credenziali generate sul Google Developer Console:

 

session_start();
require_once ('Google/autoload.php');

$client_id = 'XXXXXXXXXXXXXXXXX';
$client_secret = 'XXXXXXXXXXXXXXXX';
$redirect_uri = 'redirect url';

Creiamo ora l’oggetto Google_Client() e passiamo le credenziali $client_id e $client_secret più il nostro URL redirect.

 

// Creiamo il Google client
$client = new Google_Client();
$client->setClientId($client_id);
$client->setClientSecret($client_secret);
$client->setRedirectUri($redirect_uri);
$client->addScope("email");
$client->addScope("profile");

Il Google_client() è il client grazie al quale comunichiamo con le Google API.

Creiamo ora l’instanza Google_Service_Oauth2(). Questo oggetto è l’interfaccia vera e propria per il protocollo OAuth2.

 

// Creiamo l'interfaccia API OAuth2
$service = new Google_Service_Oauth2($client);

Settiamo ora la callback con la quale il nostro script riceverà il codice di autorizzazione dal server OAuth2 di Google. Questo codice è invocato automaticamente dalla pagine di autorizzazione di Google quando l’utente accetta l’autorizzazione. Il nostro URL redirect deve puntare a questa porzione di codice. Nel nostro caso abbiamo messo questo codice direttamente nel file “googleauth.php” quindi l’URL redirect deve puntare al file “googleauth.php” stesso. Nulla vieta comunque di avere questa callback in un altro script PHP a parte.

Lo script legge il codice di autorizzazione inviato in GET dal server Google e richiede il token vero e proprio. Poi salva il token nella sessione PHP corrente (volendo potremmo anche salvarlo in un cookie).

 

// Callback per il servizio OAuth2 di Google.
// Salviamo il token nella sessione PHP e ricarichiamo la pagina
if(isset($_GET['code']))
{
 $client->authenticate($_GET['code']);
 $_SESSION['access_token'] = $client->getAccessToken();
 header('Location: '.$_SERVER['PHP_SELF']);
 exit;
}

Definiamo un modo per effettuare il logout. Questa porzione di codice semplicemente cancella il token dalla sessione PHP corrente. E’ sufficiente chiamare lo script settando la variabile GET “logout=” (i.e. “googleauth.php?logout=”).

Lo script ora si dirama in due direzioni differenti. Se il token è presente in sessione vengono recuperati i dati utente direttamente dal server Google. Altrimenti si provvede a mostrare una pagina di login col classico bottone rosso “Log in tramite Google”:

 

// L'utente è già loggato oppure no?
if(isset($_SESSION['access_token']) && $_SESSION['access_token'])
{
	// Si, l'utente è loggato, recuperiamo i dati dell'utente
	
	$client->setAccessToken($_SESSION['access_token']);
	$user = $service->userinfo->get();
	
	echo "Benvenuto ".$user->name."!";
	echo "User ID = ".$user->id;
	echo "Email = ".$user->email;
	echo "Google page = ".$user->link;
	echo "Avatar = ".$user->picture;
	echo "";
	echo "<a href='?logout='>Esci</a>";
}
else
{	
	// No, l'utente non è loggato, mostriamo la pagina di login

	$authUrl = $client->createAuthUrl();
	
	echo '<div align="center">';
	echo '<h3>Login</h3>';
	echo '<a class="login" href="' . $authUrl . '">';
echo '<img src="signin.png" /></a>';
}

Se il token è settato prendiamo i dettagli utente invocando $service->userinfo->get().

Se non è settato creiamo il link per andare alla pagina di autorizzazione Google. Il link viene creato con la API createAuthUrl().

Trovate lo script di esempio completo di libreria GoogleAPI su GitHub.

Come continuare ad utilizzare una vecchia e costosa stampante non più compatibile con Windows 7/8/10

La stampante è uno di quei strumenti che cambi solo quando si rompe oppure… quando non è più compatibile con l’ultimo aggiornamento di Windows.

Ma spesso è frustrante dover cambiare una stampante solo perchè non più supportata dal nuovo sistema operativo, soprattutto se la stampante in questione possiede queste caratteristiche:

  1. funziona ed ha funzionato sempre benissimo
  2. è costata parecchio
  3. è di ottima qualità
  4. consuma poco inchiostro

Nel mio caso ho avuto a che fare con una stampante professionale da ufficio Develop 1650D. La stampante ha sempre funzionato egregiamente con WindowsXP, funzionava in alcuni casi ristretti su Windows7 ed un bel giorno ha smesso del tutto di funzionare dopo l’ultimo aggiornamento del suddetto sistema operativo.

529ef87ed1beb529d4026ee8ed4ab96c33430541

La stampante non ha porte Ethernet o Wifi. Ha una singola porta USB ed una porta parallela: ciò significa che deve essere collegata direttamente ad un computer.

Soluzione “semplice” è buttare la stampante da 2000 e rotti euro e comprarne una nuova: non ci piace.

 

Tentativo: utilizzo di un print server commerciale

Acquistare un print server commerciale sembrerebbe la soluzione ottimale: il print server funge da ponte tra la stampante e la rete LAN dell’ufficio scavalcando del tutto il problema del sistema operativo.

41NowUSrunL._SY300_

Purtroppo però tutti i print server in circolazione supportano solo alcuni modelli specifici di stampanti ed in genere solo quelle più recenti. Inutile dire che non andava bene per il modello Develop 1650D.

 

Tentativo: Macchina XP dedicata e condivisione stampante

Una soluzione alternativa è collegare un PC WindowsXP direttamente alla stampante e condividerla in rete. Questa soluzione non ha funzionato in quanto, sebbene la stampante fosse perfettamente visibile in rete dagli altri PC Windows7, le stampe non partivano a causa dell’incompatibilità tra i driver XP  e i PC utilizzatori (Windows7).

 

Soluzione finale: print server ad-hoc

La soluzione è consistita nel disaccoppiare utenti Windows7 e stampante tramite l’utilizzo di una stampante virtuale PDF. Un PC WindowsXP dedicato gestisce la stampante reale via USB e al tempo stesso condivide in rete una stampante virtuale PDF. I PDF (le stampe degli utenti) vengono creati sul disco della macchina XP all’interno di una directory specifica che funge da coda di stampa. Un programma ad-hoc realizzato in .NET C# (printserver.exe) e residente nella macchina XP provvede a scodare i file PDF dalla directory e a stamparli sulla stampante reale.  Il programma è avviato automaticamente e non richiede alcun intervento manuale per funzionare.

Screen shot 2015-11-02 at 5.38.30 PM

Lato utente il meccanismo è del tutto trasparente: in rete è visibile solo la stampante virtuale. Ogni comando di stampa verso la stampante virtuale si traduce in una stampa vera e propria sulla Develop 1650D.

Screen shot 2015-11-02 at 5.38.15 PM

Il tutto realizzato su un comunissimo PC desktop privo di mouse, tastiera e schermo. L’unica cosa da ricordare è accendere il printserver la mattina prima di utilizzare la stampante!

printserver

 

Aspetti interessanti della soluzione

Allo stato attuale i PDF vengono scodati, stampati e quindi cancellati; Nessuno però vieta di copiare i PDF in una ulteriore cartella di backup in modo da mantenere uno storico digitale delle stampe.

E’ possibile estendere il meccanismo ad altre stampanti obsolete e collegarle tutte alla stessa macchina XP; l’unico limite è il numero di porte USB e parallele disponibili (di solito 4 o 6 USB e 1 o 2 parallele).

La stampante funzionerà anche con Windows 8, Windows 10 e anche sistemi Linux e Mac.