Web制作・開発会社 プレスマンのスタッフブログ

PRESSMAN*Tech

OAuthをPHPでイチから書いてみた(その2)

その1で認証画面を表示するところまでたどり着きました。この時点ではリクエストトークンは未認証の状態です。
まあ、認証画面でこれから認証してもらうわけですし当たり前ですね。
それでは「アプリを認証」ボタンをポチッとな・・・・・・・。
コールバックURLに設定したURLにリダイレクトされました。コールバックURLにoobを設定していた場合はPINコードが出ます。

コールバックURLにリダイレクトすると以下のようなパラメーターがURLに付いてくるはずです。これがユーザーに認証されたリクエストトークンとなります。これを使用してアクセストークンを取得していきます。
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY


さて、ここでちょっと前回のプログラムを見直してみます。
前回はGETメソッドでリクエストトークンを取得それを認証用ページのURLにくっつけてアクセスしたわけですが、大分手作業が入ってしまっています。
この記事に趣旨はOAuthが何をやっているか理解するためなのでそれでもいいのですが、もう少しだけ自動化してみます。

まず、プログラムの中で作成したリクエストトークンを要求するためのURLを使ってサーバーからリクエストトークンを取得する部分を自動化します。
GETメソッドでこのまま行ってもいいのですがtwitterのOAuthのドキュメントでもPOSTを使うべきと書かれているので折角なのでPOSTメソッドで行います。

まず、POSTなのでいままでGETで渡していたパラメーターはそのままでは渡せません。しかし、POSTとしてデータで渡すのではなくHTTPヘッダに埋め込んで渡します。
その後にサーバーと通信をするのですが、それにはいくつかやり方があります。今回はcURLを使用してみます。
ただし、PHPのコンパイル時にcurlを有効にしておくことが必要ですのでストリーム通信でのやり方も記述しておきます。

(0) 今回はPOSTなのでGETからPOSTに変える。

(1)リクエストトークンを取得するためのHTTPヘッダを作成

GETでリクエストトークンを取得したときに作成したパラメータと内容は同じです。
すこし形が変わっていて、以下のように。OAuthと先頭についてその後パラメータをカンマで結合して値をダブルクォーテーションで囲む形になします。
OAuth oauth_callback="http%3A%2F%2Fnet.pressmantech.com%2F",oauth_consumer_key="pD4dm6IQHa6jhtge82Fg",oauth_nonce="3eef56972809bf19d19847d05846b5df",oauth_signature_method="HMAC-SHA1",oauth_timestamp="1308017975",oauth_version="1.0",oauth_signature="LjI6mDmRXgkARUTp35TUuSaPW4Y%3D"
これをAuthorization:としてHTTPヘッダに埋め込みます。

(2)curlを使用してPOSTでリクエストトークンを取得。

curlはとても便利で最初に通信するためのオプションを設定して通信するだけです。
その中のいくつかを説明しておきます。

レスポンスを画面に出力しないでcurl_exec()の返り値とする。

(a) HTTPヘッダをセット。これがちょいとキモになります。Content-Length、Expectの二つのヘッダが問題になります。
(b) 通信時に送信しているヘッダはCURLINFO_HEADER_OUTをcurl_setoptでtrueにしてcurl_getinfo()で取得できるのですが、これで取得してみると
Content-Length: -1
Expect: 100-continue
が自動的に付加されています。(環境依存かもしれませんが・・・)
そうすると、twitterのサーバーがエラーを返してくるのでこれらを消すようにしてあります。
(c) POSTで送信するのでPOSTに設定します。

これで問題が無ければリクエストトークンを取得できます。

(3)curlが使えない場合のためのストリームでの通信

特にこれと言って難しいことも無いというかcurlを使うより簡単だったりします。ただ、他の部分もそうですが通信エラー時の処理などは何も実装していませんので注意。

(4)リクエストトークンはこの後の処理で必要になるのでセッションに格納しておく。

(5)リダイレクトして認証画面を表示する。

これで、このプログラムがあるURLにアクセスするだけで認証画面が出るようになりました。cURLでの通信はこの後アクセストークンを取得するときやユーザーのtwitterデータを取得するときに使えます。
認証用ヘッダを作る部分も含めてほぼ同じ処理になるので、クラスでも作ってユーザーオブジェクトにしてその中に通信メソッドなんかを実装、オブジェクトをセッションで保持しておくなどいろいろと実装の仕方はありますが、これはあくまでもOAuthの流れを見るのが目的ですので次回以降はコピペプログラムっぽくなっていきます。
実際に使う場合はOAuth用のライブラリを使う方が簡単ですしね。以下ソースです。