HybridAuthとは

HybridAuth, Open Source Social Sign On PHP Library

HybridAuth enable developers to easily build social applications to engage websites vistors and customers on a social level by implementing social signin, social sharing, users profiles, friends list, activities stream, status updates and more.

WebサイトにOAuth認証を簡単に設置する為のPHPライブラリです。 Twitter、Facebook等をはじめとした様々なサービスに対応しています。 サポートされているサービスは、現時点で32。

また、CodeIgniterやCake、Zend等のFWはもちろん、 WordPressやJoomula等のCMSのプラグインとしても利用できます。

• II. Third-party Plugins | Download HybridAuth

HybridAuth と Opauth の違い

HybridAuthはOpauthと似たタイプのライブラリですが、 この2者で大きく異る点、というよりはHybridAuthのメリットを2つご紹介します。

1. 自由にカスタマイズ可能なURL
2. APIにアクセスするメソッド

自由にカスタマイズ可能なURL

Opauthは、ログインURLの一部にサービス名を含んでいないと正常に動きません。 URLの文字列から認証するサービスを判別する為です。 （ここらへん、前回の記事では説明不足でしたね。すみません。）

例えば、「http://www.example.com/login/twitter」ならtwitterの認証画面へ、 「http://www.example.com/login/facebook」ならFacebookの認証画面へ飛ぶわけですね。

一方HybridAuthには、そういった縛りはありません。 そのかわり、認証メソッドの引数にサービス名を渡す事になります。

APIにアクセスするメソッド

Opauthは認証するだけでしたが、HybridAuthは認証した後にAPIにアクセスしてgetしたりpostしたりできます。 これ一本で全部面倒見切れそうですね。

簡単な使い方

HybridAuthを hybirdauth/ ディレクトリに保存したと想定して、 次のようなファイル構成にしてみます。

login.php (ユーザーがアクセスするページ)
config.php (設定ファイル)
hybridauth/ (ダウンロードしたHybridAuthの構成ファイル)
├ config.php
├ index.php
├ install.php
└ Hybrid/

設定ファイルを作る

hybridauth/config.php を参考にして、config.phpを作って必要事項を明記しましょう。 ここでは、Twitterのログインに必要な物だけを記載しておきます。

<?php

return array(
    "base_url" => "http://localhost:8080/hybridauth/",
    "providers" => array(
        "Twitter" => array(
            "enabled" => true,
            "keys" => array(
                "key" => "[your app's consumer key]",
                "secret" => "[your app's consumer secret]"
            )
        )
    )
);

base_url

実際にOAuthのやり取りをしてくれるスクリプトを指します。 多くの場合HybridAuthをインストールしたディレクトリになります。

providers

認証したいサービスの設定を列挙していきます。 Twitterの場合は、作成したアプリケーションのconsumer keyとconsumer secretを記載します。

ログイン処理を書く

./login.php を用意して、ログイン処理を書いてみます。

<?php

// 設定ファイルを引数にして初期化する（配列でもOK）
$auth = new Hybrid_Auth( "./config.php" );

// 認証の実行（未認証の場合はここでリダイレクトされ、認証済みの場合はスルーされます）
$twitter = $auth->authenticate("Twitter");

// ↓ ここから認証済みの場合の処理
echo "<h1>認証されています！</h1>";

// ユーザー情報をまとめてくれる getUserProfile() メソッド
var_dump(
    $twitter->getUserProfile()
);

// APIにアクセスしてみる
var_dump(
    $twitter->api()->get("account/verify_credentials.json")
);

コメントの通りです。authenticateメソッドだけでほとんど余計な処理は省かれて、スッキリしていますね。

実際の動作としては、こんな感じみたいです。

1. ユーザーがlogin.phpにアクセス
2. hybridauth/index.php に移動、そこからサービスの認証画面へリダイレクト
3. 認証が済んだらトークンをセッションに保存して、再びユーザーが元いたlogin.phpに移動

base_url について

config.php で出て来た base_url ですが、少し補足しておきます。

要するにこの項目は、全ての認証処理を代理で行なってくれるイケてるしヤバい hybridauth/index.php にアクセスさせる為の物です。 もっと言えば、そこにアクセスしたユーザーに対して hybridauth/index.php に記述されている処理が走りさえすれば良いです。

ですので、上の例示では hybridauth/ ディレクトリが公開ディレクトリにある前提になっていますが、 そうでない場合（非公開ディレクトリになっていたり、フレームワークの都合上アクセス出来なくなっていたりする場合）、 アクセスさせるファイル内で hybridauth/index.php をインクルードしさえすれば動くはずです。

例えば、”base_url” を /auth.php 等として、該当ファイルを設置し、

require_once("/the/path/to/hybridauth/index.php");

等としておけば良いですね。

気になった事柄

公式の例示では、APIアクセスも、認証済みである事を前提としていました。

認証を使わず、アプリに割り振られたのアクセストークンを使ったAPIアクセスは可能なのか、が気になりました。
それをするならそういうライブラリを使えば良いのですが、一つで済むならそれが一番ですよね。
気が向いたら調べてみます。

認証はOpauthで

• Opauth – Multi-provider authentication framework for PHP

Opauthは、様々なOAuth認証を一手に引き受けてくれる認証フレームワークです。

執筆時に公式に紹介されていた利用可能なサービスは、Twitter・Facebookなどを含め11件。 これらのサービスへの認証機能は「ストラテジー」という形で外部モジュールとして提供されます。 所謂ストラテジーパターンと呼ばれる物ですね。

その使い方は、認証のみにフォーカスしているライブラリなだけあって恐ろしくシンプルで簡単。 早速試してみます。

インストール

公式のダウンロードページからダウンロードするか、 Githubにリポジトリが公開されているのでそこからcloneします。

• ダウンロードページ
• GitHubリポジトリ

公式の「Opauth bundled with examples」からなら、Twitter、Google、Facebookのストラテジーも同梱されているので 最初に試す際にはこれがおすすめです。 （それ以外ではストラテジーが空っぽの状態なので、別途ダウンロードしてくる必要があります）

設定

ダウンロードして解凍・設置したら、設定ファイルを用意します。 opauth.config.php などとしておきましょう。

$opauth_config = array(
    /**
     * アプリケーションへのパス
     */
    "path" => "/the/path/to/",

    /**
     * Twitterで認証した後に戻るコールバックURL。
     * {path} は前述のpathを展開してくれる。
     */
    "callback_url" => "{path}callback.php",

    /**
     * ハッシュの生成に使われる文字列。任意の文字列を入れておく。
     */
    "security_salt" => md5("foobar"),

    /**
     * ここからがストラテジーの設定
     */
    "Strategy" => array(
        /**
          * Twitterストラテジーの設定
          * key, secret はTwitterの公式から取得。
          */
        "Twitter" => array(
            "key" => "[consumer_key]",
            "secret" => "[consumer_secret]"
        )
    )
);

consumer_key と consumer_secret は、 事前にTwitterでアプリケーションを登録して、自前の物を取得しておきましょう。

• Create an application | Twitter Developers

試してみる

Twitterの認証画面へリダイレクト

まず、Twitterの認証画面へリダイレクトするスクリプトを書きます。 ユーザはログイン時はこのページにアクセスする事になります。

<?php

require "/the/path/to/Opauth.php";
require "/the/path/to/opauth.config.php";

new Opauth($opauth_config);

ライブラリと設定を読み込んでインスタンスを初期化するだけです。
認証画面のURLの取得やらリクエストトークンの取得やらリダイレクト処理やら、
面倒な部分は全て代行してくれます。素晴らしい。

アクセストークンを取得

今度は、Twitterの認証画面から返ってきたユーザのアクセストークンを取得します。

デフォルトの設定では、認証情報は全て$_SESSIONに入るので
事前に*session_start()* しておきましょう。

<?php

session_start();

require "/the/path/to/Opauth.php";
require "/the/path/to/opauth.config.php";


/**
 * コールバック時には第二引数にfalseを入れて初期化する。
 */
$opauth = new Opauth($opauth_config, false);

/**
 * 認証情報を取得します。
 */
if(isset($_SESSION["opauth"]) && isset($_SESSION["credentials"])){

    $uid = $_SESSION["opauth"]["auth"]["id_str"]; // Twitterの数字のID
    $access_token = $_SESSION["credentials"]["token"]; // アクセストークン
    $access_token_secret = $_SESSION["credentials"]["secret"]; // 秘密のアクセストークン

}

コールバック時も、インスタンスを初期化してセッションから情報を取得するだけです。

ここで取得したアクセストークンを使ってTwitterAPIにアクセスするわけですが、
Opauthは認証を代行するライブラリなので、その為の機能は備えていません。
ここから先は、他のライブラリに代行してもらうことにします。

APIの利用はtmhOAuthで

• 
  themattharris/tmhOAuth
  

tmhOAuthは、PEARのServices_TwitterのようにTwitterAPIへのアクセスを代行してくれるライブラリです。
勿論認証機能も備えていますが、あまりにもOpauthが楽すぎたので作業分担をしてもらいます。

その特徴としては、（ほぼ）単ファイルで構成されていること。
tmhOAuth.phpをとってきて読み込むだけでその機能を利用する事ができるので、導入が容易いですね。
（正確には、tmhUtilities.php というユーティリティ用のファイルが同梱されていますが、
依存しているわけではありません）

試してみる

基本的には、前項で取得した4つのトークンを引数にして初期化して、
あとはTwitterAPIへのリクエストを行うだけです。

<?php

require "/the/path/to/tmhOAuth.php";

/**
 * tmhOAuthを初期化。
 * コンストラクタの引数はトークンをまとめた連想配列。
 */
$twitter = new tmhOAuth(
    array(
        "consumer_key" => "[consumer_key_for_your_application]",
        "consumer_secret" => "[consumer_secret_for_your_application]",
        "user_token" => "[access_token_of_the_user]",
        "user_secret" => "[access_token_secret_of_the_user]"
    )
);

/**
 * requestメソッドでTwitterAPIにリクエストを送る。
 * ここではユーザーのホームタイムラインを取得してみる。
 */
$status = $twitter->request(
    "GET", // リクエストメソッド
    $twitter->url("1/statuses/home_timeline"), // エンドポイントを指定
    array( "count" => 8 ) // パラメータ
);

/**
 * requestの返り値はHTTPのステータスコード
 */
if($status == 200){
    /**
     * データはメンバのresponseの中に、
     * さらに生のデータはその中の"response"の中にJSONで格納されている。
     */
    $response = $twitter->response;
    $data = json_decode($response["response"]);
    var_dump($data); // あとは煮たり焼いたりする
}

無事タイムラインを取得出来ましたでしょうか。
requestの返り値に注意しましょう。

こちらのライブラリもまた、かなりシンプルな使い勝手になっていますね。

まとめ

PEARのServices_Twitterには、個人的にいくつかの不安がありました。

• 
  ながらくβ版のままで、あまりメンテナンスされていない
  
• 
  ローカルコピーでプロジェクトに同梱しづらい
  

そこで他の選択肢を探していましたところ、
これらの2つのライブラリが候補として挙がって来ました。

お手軽さも上々なので、今後是非試していきたいリソースです。

Twitterが最早ただのサービスとしてではなく「プラットフォーム」として広まる中で、
これを活用したサービスの開発は我々の一つの課題となりつつあります。
anywhereを利用した認証は以前触れましたが、
今回はPHPでOAuth認証をする方法をまとめてみます。

事前準備

アプリケーションの登録

まずはTwitterでアプリケーションを登録しなければなりません。
» New Twitter Application | dev.twitter.com
※個人的にここのCaptchaはかなり手強かったです

必要事項を明記して登録すると、OAuthに必要な情報を出力してくれます。
特に必要な項目は、次の三つ。きちんと控えておきます。

• Consumer key
• Consumer secret
• Registerd OAuth Callback URL
  
  （Twitter側で認証が完了した後で戻ってくる為のページURL）

PEARパッケージのインストール

以下のパッケージが必要になりますので、インストールしておきます。

• Services_Twitter
• HTTP_OAuth

STEP:0 認証の準備

まず情報を整理して変数に突っ込んでおきましょう。
また、PEARパッケージのロードとsession_startも忘れずに。

session_start();

// [1] ライブラリのロード
require_once("Services/Twitter.php");
require_once("HTTP/OAuth/Consumer.php");

// [2] URL情報
$request_token_url = "http://api.twitter.com/oauth/request_token";
$access_token_url = "http://api.twitter.com/oauth/access_token";
$authorize_url = "http://api.twitter.com/oauth/authorize";

// [3] アプリケーションの情報
$consumer_key = "<貴方のConsumer Key>";
$consumer_secret = "<貴方のConsumer Secret>";
$callback_url = "<貴方のCallback URL>";

2 URL情報は共通です。
3 アプリケーションの情報は各々固有な物になるので、
登録時にもらったキーと設定したURLを格納します。

STEP1: 「リクエストトークン」を取得

まずはじめにHTTP_OAuthを介して「リクエストトークン」を頂き、
Twitterの認証用のURLを取得します。
そして必要とあらば、リダイレクトさせてあげます。

// [1] インスタンス生成
$consumer = new HTTP_OAuth_Consumer( $consumer_key, $consumer_secret );

// [2] getRequestTokenでリクエストトークンを取得
$consumer->getRequestToken( $request_token_url, $callback_url );

// [3] getToken/getTokenSecretで、トークンをセッションに保存
$_SESSION["request_token"] = $consumer->getToken();
$_SESSION["request_token_secret"] = $consumer->getTokenSecret();

// [4] getAuthorizeUrlでURLを取得
$auth_url = $consumer->getAuthorizeUrl( $authorize_url );

// [5] 必要とあらばリダイレクト
header( "Location: " . $auth_url );

STEP:2 Twitter側でアプリケーションの使用を「許可」する

認証用のURLに飛ばすとユーザにはこんなページが表示されます。
「許可する」をクリックすると、アプリケーション登録時に設定した「Callback URL」に、
パラメータにトークンを携えて戻ってきてくれます。

こんな感じに。

http://www.example.com/?oauth_token=<トークン>&oauth_verifier=<トークン>

STEP:3 「アクセストークン」を取得する

今度は、STEP2で飛ばされた先の「Callback URL」での処理となります。
ユーザがパラメータに携えてきたトークンを元に、「アクセストークン」を取得します。
STEP1とは別スクリプトになるケースも多いと思いますが、（その前提で書いています）
STEP:0での変数が必要になるので忘れずにロード/格納しておきましょう。

// [1] インスタンスの生成
$consumer = new HTTP_OAuth_Consumer( $consumer_key, $consumer_secret );

// [2] セッションに保存しておいたリクエストトークンを$consumerにセットする
$consumer->setToken( $_SESSION["request_token"] );
$consumer->setTokenSecret( $_SESSION["request_token_secret"] );

// [3] getAccessTokenでアクセストークンを取得
$consumer->getAccessToken( $access_token_url, $_GET["verifier"] );

// [4] セッションにアクセストークンを保存
$_SESSION["access_token"] = $consumer->getToken();
$_SESSION["access_token_secret"] = $consumer->getTokenSecret();

パラメータで渡されたトークンは、3の第二引数で使用されます。
4で生成されたアクセストークンが最終的なトークンとなります。（お疲れ様でした！）

STEP:4 貰った「アクセストークン」でAPIにアクセス

いよいよアクセストークンを元に、TwitterAPIにアクセスします。
今まで通りにHTTP_OAuth_Consumerクラスを用いるのですが、
コンストラクタの第3/第4引数にアクセストークンを渡す点に注意です。

// [1] コンシューマインスタンスを生成
$consumer = new HTTP_OAuth_Consumer(
    $consumer_key,
    $consumer_secret,
    $_SESSION["access_token"],
    $_SESSION["access_token_secret"]
);
// [2] Twitterインスタンスを生成し、コンシューマを渡す
$twitter = new Services_Twitter;
$twitter->setOAuth($consumer);

これで$twitterにTwitterAPIを使う能力が備わったはずです。（なんかかっこいい）
試しにその能力を奮ってみましょう。

// ユーザのホームタイムラインを出力してみる
$timeline = $twitter->statuses->home_timeline();
foreach($tl as $t){
    echo $t->text;
    echo "<br />";
}

連々とツイートが表示されたら成功です。
実際に$twitterにどのような力が備わるのかについては、
公式のTwitterAPIドキュメントをご参照ください。
cf) Twitter API Wiki / Twitter API Documentation

まとめ

とにかくトークンがいっぱい飛び交うので気がとーくんなります。
今後使う機会も多くなって来ると思うので、覚えておかねば…。

2010/10/25

URLをhttpsからhttpに変更。SSLを使う場合は別途設定が必要になります。
PHPでTwitter APIのOAuthを使う方法まとめ – 頭ん中