Авторизация через социальные сети или Немного о Loginza

Некоторое время назад задумал сделать один проект по соционике, но сильно мешала мысль "опять надо делать авторизацию, регистрацию, восстановление пароля и т.д.", тем более что проект был небольшим и эта часть получалась самой трудоемкой. Решил пойти другим путем: что если отказаться от собственной регистрации вообще, а использовать только авторизацию через социальные сети. Безуспешно попытавшись разобраться с авторизацией ВКонтакте (документация там просто ужасна), стал рассматривать другие варианты и наткнулся на сервис Loginza, который позволяет делать авторизацию через самые разные социальные Сети: не только ВКонтакте, Facebook и My.Mail.Ru, но и еще более десятка.

Стал разбираться в ее API, и оказалось, что все до предельного просто: регистрируемся на сайте Loginza, заходим в раздел "Мой виджет Loginza", там указываем адрес своего сайта и проходим подтверждение. Получаем идентификатор и секретный ключ. После этого подключаем на сайт widget Loginza — простой тег script c URL https://loginza.ru/api/widget, в параметре token_url которого указываем адрес на нашем сайте, куда пользователь попадет после авторизации. Нажав на widget, пользователь выбирает провайдера авторизации. После этого происходит редирект на указанный адрес, где через POST-запрос передается некий token. Далее нам предстоит сделать запрос к серверу уже из скрипта на серверной стороне (я использовал модуль cURL), чтобы по token и подписи (которая представляет собой MD5-хеш от token и секретного ключа) получить данные о пользователе. Данные приходят в формате JSON, остается только декодировать их, проверить на наличие ошибок и сохранить в сессию (а при необходимости — в базу данных). И все, авторизация пользователя готова!

Таким образом, вместо нескольких дней разработки получаем менее чем за час полностью работающую авторизацию! Вот пример кода:

<!DOCTYPE html>

<html>

<head>

<title>Экспериментируем с Loginza</title>

<script src="//loginza.ru/js/widget.js" type="text/javascript"></script>

<meta charset="utf-8" />

</head>



<body>

<a href="https://loginza.ru/api/widget?token_url=<?php echo urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);?>&providers_set=vkontakte,facebook,twitter" class="loginza">Войти через OpenID</a>

<?php 



session_name('Loginza_Test'); 

if (isset($_REQUEST['Loginza_Test'])) session_start(); // открываем сессию в том случае, если пользователь уже авторизовался (см. http://new.xpro.su/php/php для объяснения почему нужна такая проверка)



if ($_SERVER['REQUEST_METHOD']=='POST') {

$id=42913; // здесь пишем ID сайта, выданный Loginza

$key='********************************'; // здесь пишем ключ, выданный Loginza

$token=$_POST['token']; // получаем Token из запроса

$sig=md5($token.$key); // цифровая подпись запроса

  if (function_exists('curl_init') && $curl=curl_init()) { // 

    curl_setopt($curl, CURLOPT_URL, 'http://loginza.ru/api/authinfo?token='.$token.'&id='.$id.'&sig='.$sig);

    curl_setopt($curl, CURLOPT_RETURNTRANSFER,true);

    curl_setopt($curl, CURLOPT_POST, false);

    $json_data = curl_exec($curl);

    curl_close($curl);

    $user_data = json_decode($json_data,true);

    if ($user_data && !isset($user_data['error_type'])) { // если в результате проверки не обнаружилось ошибок

      session_start(); // создаем сессию пользователя, если авторизация успешна

      $_SESSION['user']=$user_data; // запоминаем данные пользователя в сессию

      // тут можно сделать сохранение полученных данных о пользователе в базу данных, если это нужно

    }

    else { // если возникла ошибка, выводим ее

		echo 'Ошибка авторизации! ';

		if (isset($user_data['error_message'])) echo $user_data['error_message'];

	}

  }

  else echo 'Не найден модуль CURL или он работает некорректно!';

}  

elseif (isset($_REQUEST['logout'])) { // для выхода пользователя

  $_SESSION['user']=NULL;

  session_destroy();

} 



if (isset($_SESSION['user']['name'])) { // действие только для авторизованного пользователя

	echo 'Мы тебя узнали, '.htmlspecialchars($_SESSION['user']['name']['first_name']).'!';

	print_r($_SESSION['user']); // выведем все, что удалось о пользователе узнать

}

?>

</body>

</html>

Пожалуй, единственный недостаток такой авторизации — в том, что разные провайдеры авторизации предоставляют различный объем данных о пользователе. Например, ВКонтакте не предоставляет адрес EMail, Яндекс — данные о возрасте, и т.п.