Реализация OAuth2 аутентификации для веб-приложения
OAuth2 — протокол делегированной авторизации. Пользователь разрешает стороннему приложению доступ к своим данным на другом сервисе, не передавая пароль. Гугл, GitHub, Facebook выступают Identity Provider (IdP), ваше приложение — Client. OAuth2 ≠ аутентификация — протокол про авторизацию доступа к ресурсам, но поверх него строится аутентификация через OpenID Connect (OIDC).
Authorization Code Flow (основной)
Последовательность для веб-приложений:
- Клиент → IdP:
GET /oauth/authorize?response_type=code&client_id=...&redirect_uri=...&scope=openid email&state=random - Пользователь логинится у IdP, даёт разрешение
- IdP → Клиент:
GET /callback?code=AUTH_CODE&state=random - Клиент → IdP backend:
POST /oauth/tokenс кодом → получаетaccess_token,id_token,refresh_token - Клиент → IdP:
GET /userinfoсaccess_token→ профиль пользователя
State — защита от CSRF: генерируется перед редиректом, проверяется при возврате.
PKCE (Proof Key for Code Exchange) — обязателен для SPA и мобильных приложений, где нет серверного хранения client_secret:
// Генерация code_verifier и code_challenge
const verifier = crypto.randomUUID().replace(/-/g, '') + crypto.randomUUID().replace(/-/g, '');
const encoder = new TextEncoder();
const data = encoder.encode(verifier);
const digest = await crypto.subtle.digest('SHA-256', data);
const challenge = btoa(String.fromCharCode(...new Uint8Array(digest)))
.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, '');
// Сохранить verifier в sessionStorage
sessionStorage.setItem('pkce_verifier', verifier);
// Добавить в authorize URL
const url = `${authUrl}?...&code_challenge=${challenge}&code_challenge_method=S256`;
Реализация OAuth2-сервера на Laravel (Laravel Passport)
Если ваше приложение само является OAuth2-сервером (выдаёт токены для API-клиентов или мобильного приложения):
composer require laravel/passport
php artisan passport:install
// User model
use HasApiTokens;
// AuthServiceProvider
Passport::routes();
Passport::tokensExpireIn(now()->addDays(15));
Passport::refreshTokensExpireIn(now()->addDays(30));
Passport::personalAccessTokensExpireIn(now()->addMonths(6));
// Создание клиента для SPA (с PKCE)
php artisan passport:client --public
// Создание клиента для server-to-server
php artisan passport:client --client
Scopes для гранулярного контроля доступа:
// AuthServiceProvider
Passport::tokensCan([
'read:profile' => 'Читать профиль',
'write:profile' => 'Редактировать профиль',
'read:orders' => 'Читать заказы',
'write:orders' => 'Создавать заказы',
]);
// Защита роутов по scope
Route::middleware(['auth:api', 'scope:read:orders'])->get('/orders', ...);
Client Credentials Flow (machine-to-machine)
Для server-to-server без участия пользователя:
// Получение токена (микросервис A запрашивает токен у OAuth-сервера)
$response = Http::post('https://auth.example.com/oauth/token', [
'grant_type' => 'client_credentials',
'client_id' => config('services.microservice_a.client_id'),
'client_secret' => config('services.microservice_a.client_secret'),
'scope' => 'read:inventory write:orders',
]);
$accessToken = $response->json('access_token');
$expiresIn = $response->json('expires_in'); // секунды
// Кэшируем токен до истечения
Cache::put('microservice_token', $accessToken, now()->addSeconds($expiresIn - 60));
Introspection и валидация токена
Ресурсный сервер проверяет токен:
// Вариант 1: Локальная проверка JWT (самый быстрый)
$token = JWT::decode($accessToken, $publicKey, ['RS256']);
// Вариант 2: Token introspection endpoint (RFC 7662)
$response = Http::withBasicAuth($resourceServerId, $resourceServerSecret)
->post('https://auth.example.com/oauth/introspect', [
'token' => $accessToken,
]);
$data = $response->json();
if (!$data['active']) {
return response()->json(['error' => 'Token inactive'], 401);
}
OIDC — аутентификация поверх OAuth2
OpenID Connect добавляет id_token (JWT с данными пользователя) к OAuth2:
// Декодируем id_token (после верификации подписи)
const [header, payload, signature] = idToken.split('.');
const claims = JSON.parse(atob(payload));
// claims содержит:
// sub: "user_123" — уникальный ID пользователя у IdP
// email: "[email protected]"
// name: "John Doe"
// picture: "https://..."
// iss: "https://accounts.google.com" — кто выдал токен
// aud: "your_client_id" — для кого токен
// exp: 1735689600 — истекает
// КРИТИЧЕСКИ ВАЖНО: верифицировать подпись перед использованием claims!
import { jwtVerify, createRemoteJWKSet } from 'jose';
const JWKS = createRemoteJWKSet(new URL('https://accounts.google.com/.well-known/jwks.json'));
const { payload } = await jwtVerify(idToken, JWKS, {
issuer: 'https://accounts.google.com',
audience: process.env.GOOGLE_CLIENT_ID,
});
Refresh Token Rotation
// При истечении access_token — обмен refresh_token на новую пару
$response = Http::post('/oauth/token', [
'grant_type' => 'refresh_token',
'refresh_token' => $user->refresh_token,
'client_id' => config('passport.client_id'),
'client_secret' => config('passport.client_secret'),
'scope' => '',
]);
$user->update([
'access_token' => $response->json('access_token'),
'refresh_token' => $response->json('refresh_token'), // rotate!
'token_expires_at' => now()->addSeconds($response->json('expires_in')),
]);
Refresh Token Rotation: каждый раз при использовании refresh_token он инвалидируется и выдаётся новый. Если украденный refresh_token кто-то использовал — старый уже невалиден, атака детектируется.
Провайдеры: Social Login
Для «Войти через Google/GitHub» — Socialite (Laravel) или Passport.js/next-auth:
// Socialite
Route::get('/auth/google/redirect', fn() => Socialite::driver('google')->redirect());
Route::get('/auth/google/callback', function () {
$googleUser = Socialite::driver('google')->user();
$user = User::updateOrCreate(
['email' => $googleUser->getEmail()],
[
'name' => $googleUser->getName(),
'avatar' => $googleUser->getAvatar(),
'google_id' => $googleUser->getId(),
'email_verified_at' => now(),
]
);
Auth::login($user, remember: true);
return redirect('/dashboard');
});
Сроки
OAuth2-сервер на Passport с authorization code + client credentials, PKCE для SPA, scopes, introspection: 1–2 недели. Social Login (Google, GitHub, VK) через Socialite: 2–3 дня. OIDC с JWT-верификацией и refresh rotation: 3–5 дней.