Se você deseja apenas buscar a id de usuário do Google, o nome e a imagem de um visitante de seu aplicativo da web - aqui está minha solução de serviço de PHP puro para o ano de 2020, sem bibliotecas externas usadas -
Se você leu o guia Usando OAuth 2.0 para aplicativos de servidor da Web do Google (e cuidado, o Google gosta de alterar os links para sua própria documentação), então você deve executar apenas 2 etapas:
- Apresentar ao visitante uma página da web pedindo consentimento para compartilhar o nome dela com seu aplicativo da web
- Em seguida, leve o "código" passado pela página da web acima para seu aplicativo da web e busque um token (na verdade, 2) do Google.
Um dos tokens retornados é chamado de "id_token" e contém a id do usuário, nome e foto do visitante.
Aqui está o código PHP de um jogo da web meu. Inicialmente, eu estava usando o SDK Javascript, mas depois percebi que dados falsos do usuário podiam ser passados para o meu jogo da web, ao usar apenas o SDK do lado do cliente (especialmente o ID do usuário, que é importante para o meu jogo), então mudei para usar PHP no lado do servidor:
<?php
const APP_ID = '1234567890-abcdefghijklmnop.apps.googleusercontent.com';
const APP_SECRET = 'abcdefghijklmnopq';
const REDIRECT_URI = 'https://the/url/of/this/PHP/script/';
const LOCATION = 'Location: https://accounts.google.com/o/oauth2/v2/auth?';
const TOKEN_URL = 'https://oauth2.googleapis.com/token';
const ERROR = 'error';
const CODE = 'code';
const STATE = 'state';
const ID_TOKEN = 'id_token';
# use a "random" string based on the current date as protection against CSRF
$CSRF_PROTECTION = md5(date('m.d.y'));
if (isset($_REQUEST[ERROR]) && $_REQUEST[ERROR]) {
exit($_REQUEST[ERROR]);
}
if (isset($_REQUEST[CODE]) && $_REQUEST[CODE] && $CSRF_PROTECTION == $_REQUEST[STATE]) {
$tokenRequest = [
'code' => $_REQUEST[CODE],
'client_id' => APP_ID,
'client_secret' => APP_SECRET,
'redirect_uri' => REDIRECT_URI,
'grant_type' => 'authorization_code',
];
$postContext = stream_context_create([
'http' => [
'header' => "Content-type: application/x-www-form-urlencoded\r\n",
'method' => 'POST',
'content' => http_build_query($tokenRequest)
]
]);
# Step #2: send POST request to token URL and decode the returned JWT id_token
$tokenResult = json_decode(file_get_contents(TOKEN_URL, false, $postContext), true);
error_log(print_r($tokenResult, true));
$id_token = $tokenResult[ID_TOKEN];
# Beware - the following code does not verify the JWT signature!
$userResult = json_decode(base64_decode(str_replace('_', '/', str_replace('-', '+', explode('.', $id_token)[1]))), true);
$user_id = $userResult['sub'];
$given_name = $userResult['given_name'];
$family_name = $userResult['family_name'];
$photo = $userResult['picture'];
if ($user_id != NULL && $given_name != NULL) {
# print your web app or game here, based on $user_id etc.
exit();
}
}
$userConsent = [
'client_id' => APP_ID,
'redirect_uri' => REDIRECT_URI,
'response_type' => 'code',
'scope' => 'profile',
'state' => $CSRF_PROTECTION,
];
# Step #1: redirect user to a the Google page asking for user consent
header(LOCATION . http_build_query($userConsent));
?>
Você pode usar uma biblioteca PHP para adicionar segurança adicional, verificando a assinatura JWT. Para meus propósitos, era desnecessário, porque confio que o Google não trairá meu pequeno jogo da web enviando dados falsos de visitantes.
Além disso, se você quiser obter mais dados pessoais do visitante, precisará de uma terceira etapa:
const USER_INFO = 'https://www.googleapis.com/oauth2/v3/userinfo?access_token=';
const ACCESS_TOKEN = 'access_token';
# Step #3: send GET request to user info URL
$access_token = $tokenResult[ACCESS_TOKEN];
$userResult = json_decode(file_get_contents(USER_INFO . $access_token), true);
Ou você pode obter mais permissões em nome do usuário - consulte a longa lista no documento Escopos OAuth 2.0 para APIs do Google .
Finalmente, as constantes APP_ID e APP_SECRET usadas em meu código - você as obtém no console da API do Google :