📄 Package Laravel xác thực OAuth2 (SSO Client)

🔖 Mô tả chung

Mục tiêu: Xây dựng một Laravel package đóng vai trò như một client thư viện OAuth2, phục vụ việc xác thực người dùng thông qua hệ thống SSO (Single Sign-On).

Đối tượng sử dụng: Các hệ thống Laravel khác (gọi là client app) muốn xác thực người dùng thông qua hệ thống SSO Provider trung tâm.

Kết quả mong đợi: Một package Laravel hoàn chỉnh, dễ cài đặt và tích hợp, cho phép client app:

Redirect người dùng tới SSO để đăng nhập
Nhận token và thông tin người dùng
Tự động xử lý xác thực và lưu thông tin đăng nhập
Gọi được API với token đã nhận

⚙️ Kỹ thuật sử dụng

Chuẩn xác thực: OAuth2 Authorization Code Flow
Laravel version: Tương thích Laravel 9 trở lên

📦 Cài đặt

A. Cài đặt Package

composer require thk-hd/sso-client

B. Chạy Install Command (Khuyến nghị)

php artisan sso-client:install

Command này sẽ tự động:

✅ Publish config file
✅ Tạo routes file với đầy đủ routes
✅ Thêm biến môi trường vào .env
✅ Load routes file
✅ Register middleware
✅ Configure admin check

C. Setup thủ công (nếu không dùng install command)

php artisan vendor:publish --tag=sso-client-config

⚙️ Cấu hình

Environment Variables

Thêm vào file .env:

SSO_SERVER_URL=http://127.0.0.1:8001
SSO_CLIENT_ID=xxxxxxxxxxxxxxxxxx
SSO_CLIENT_SECRET=xxxxxxxxxxxxxxxxxx
SSO_REDIRECT_URI=http://localhost:8000/callback
SSO_MENUS_URI=/api/menus
SSO_NAVIGATION_ENABLED=true
SSO_REMOTE_LOGOUT_SECRET=your-strong-secret-token-here
SSO_REMOTE_LOGOUT_ENABLED=true

Tạo Remote Logout Secret

# Cách 1: Dùng PHP
php -r "echo bin2hex(random_bytes(32));"

# Cách 2: Dùng OpenSSL
openssl rand -hex 32

🚀 Sử dụng nhanh

1. Sử dụng Install Command

php artisan sso-client:install

Sau đó load routes file trong routes/web.php:

require __DIR__.'/sso-client.php';

2. Register Middleware

Trong bootstrap/app.php:

use THKHD\SsoClient\Http\Middleware\AdminMiddleware;
use THKHD\SsoClient\Http\Middleware\PermissionMiddleware;
use THKHD\SsoClient\Http\Middleware\RefreshNavigationMiddleware;

->withMiddleware(function (Middleware $middleware) {
    $middleware->web([RefreshNavigationMiddleware::class]);
    $middleware->alias([
        'admin' => AdminMiddleware::class,
        'permission' => PermissionMiddleware::class,
    ]);
})

3. Configure Admin Check

Trong AppServiceProvider::boot():

config(['sso-client.admin_check' => fn($user) => $user->role === 'admin']);

🔧 Các Method có sẵn

Authentication Methods

buildAuthorizationUrl(string $state, array $extraParams = [])

Tạo URL để redirect đến SSO

getAccessToken(string $code)

Lấy access token từ authorization code

getUser(string $accessToken)

Lấy thông tin user từ SSO server

validateState(?string $sessionState, ?string $requestState)

Validate state parameter để chống CSRF

Token Management

saveSSOToken(string $token)

Lưu token vào session

getSSOToken()

Lấy token từ session

clearSSOToken()

Xóa token khỏi session

revokeToken(string $accessToken)

Revoke token trên SSO server

User Management

createOrUpdateUser(array $userData, ?callable $callback = null)

Tạo hoặc cập nhật user từ SSO data

forceLogout(string|int $identifier)

Force logout user theo email hoặc user_id

🛡️ Middleware

RefreshNavigationMiddleware

Tự động refresh navigation menu từ SSO và đảm bảo token hợp lệ. Middleware sẽ tự động skip nếu:

User chưa đăng nhập (guest)
Route nằm trong config('sso-client.middleware.skip_routes')
navigation_enabled = false

$middleware->web([RefreshNavigationMiddleware::class]);

PermissionMiddleware

Kiểm tra quyền truy cập dựa trên permissions từ SSO session

Route::middleware(['auth', 'permission:app.dashboard'])->group(function () {
    // Protected routes
});

AdminMiddleware

Kiểm tra user có phải admin không

Route::middleware(['auth', 'admin'])->group(function () {
    // Admin routes
});

ValidateSSOSecretMiddleware

Xác thực secret token cho remote logout endpoint

Route::middleware([ValidateSSOSecretMiddleware::class])->group(function () {
    Route::post('remote-logout', [SSOAuthenticateController::class, 'forceLogout']);
});

🧭 Navigation Menu

Mô tả

Tính năng Navigation Menu cho phép client app hiển thị menu điều hướng được quản lý tập trung từ SSO server. Menu được fetch tự động từ SSO server và cache trong session, giúp:

Quản lý menu tập trung từ SSO server
Tự động cập nhật menu khi có thay đổi
Hỗ trợ đa ngôn ngữ (language)
Tự động refresh menu khi cần thiết

Cấu hình

Thêm vào .env:

SSO_NAVIGATION_ENABLED=true
SSO_MENUS_URI=/api/menus

Giải thích:

SSO_NAVIGATION_ENABLED: Bật/tắt tính năng navigation menu (mặc định: true)
SSO_MENUS_URI: Endpoint trên SSO server để fetch menu (mặc định: /api/menus)

Cách sử dụng

Cách 1: Sử dụng View Component (Khuyến nghị)

{{-- resources/views/layouts/app.blade.php --}}
<!DOCTYPE html>
<html>
<head>
    <title>My App</title>
</head>
<body>
    {{-- Hiển thị navigation menu từ SSO --}}
    <x-sso::navigation-menu />
    
    <main>
        {{ $slot }}
    </main>
</body>
</html>

Cách 2: Sử dụng trong View Component tùy chỉnh

// app/View/Components/AppLayout.php
namespace App\View\Components;

use Illuminate\View\Component;
use THKHD\SsoClient\Services\SSOClientService;

class AppLayout extends Component
{
    public function __construct(private SSOClientService $ssoService) {}

    public function render()
    {
        $navigation = $this->ssoService->getNavigationMenu();
        
        return view('layouts.app', compact('navigation'));
    }
}

{{-- resources/views/layouts/app.blade.php --}}
@if(config('sso-client.navigation_enabled', true) && !empty($navigation))
    {!! $navigation !!}
@endif

Cách 3: Sử dụng Facade trực tiếp

use THKHD\SsoClient\Facades\SSOClient;

$navigation = SSOClient::getNavigationMenu();

if (config('sso-client.navigation_enabled', true) && !empty($navigation)) {
    echo $navigation;
}

Tự động lưu Menu sau khi đăng nhập

Menu sẽ được tự động fetch và lưu sau khi đăng nhập thành công nếu bạn sử dụng SSOAuthenticateController hoặc BaseSSOAuthenticateController.

Nếu bạn tự xử lý callback, hãy gọi storeNavigationMenu() sau khi lấy được access token:

use THKHD\SsoClient\Facades\SSOClient;

public function handleCallback(Request $request)
{
    // ... xử lý authentication ...
    
    $tokenData = SSOClient::getAccessToken($request->code);
    $accessToken = $tokenData['access_token'];
    
    // Lưu navigation menu với ngôn ngữ hiện tại
    $locale = $request->session()->get('locale', config('app.locale', 'en'));
    SSOClient::storeNavigationMenu($accessToken, $locale);
    
    // ... tiếp tục xử lý ...
}

Refresh Menu khi đổi ngôn ngữ

Khi user đổi ngôn ngữ, bạn cần refresh menu với ngôn ngữ mới:

use THKHD\SsoClient\Facades\SSOClient;

public function switchLanguage(Request $request, string $language)
{
    $request->session()->put('locale', $language);
    
    // Refresh navigation menu với ngôn ngữ mới
    $accessToken = SSOClient::getSSOToken();
    if ($accessToken) {
        SSOClient::storeNavigationMenu($accessToken, $language);
    }
    
    return redirect()->back();
}

Tắt Navigation Menu

Nếu bạn không muốn sử dụng navigation menu từ SSO, có thể tắt bằng cách:

# Option 1: Tắt trong .env
SSO_NAVIGATION_ENABLED=false

// Option 2: Tắt trong config
// config/sso-client.php
'navigation_enabled' => false,

API Endpoint trên SSO Server

SSO server cần cung cấp endpoint /api/menus (hoặc endpoint được config trong SSO_MENUS_URI) với:

Request:

GET /api/menus?lang=en&client_url=http://client-app.com
Headers:
  Authorization: Bearer {access_token}

Response (Success - 200):

<nav>
    <ul>
        <li><a href="/dashboard">Dashboard</a></li>
        <li><a href="/users">Users</a></li>
        <!-- ... -->
    </ul>
</nav>

Response (Forbidden - 403):

{
    "message": "User does not have permission for this client"
}

Best Practices

Luôn check config: Luôn check navigation_enabled trước khi hiển thị menu
Xử lý menu rỗng: Luôn kiểm tra menu có rỗng không trước khi render
Cache menu: Menu được cache trong session, không cần fetch lại mỗi request
Refresh khi đổi ngôn ngữ: Nhớ refresh menu khi user đổi ngôn ngữ

🔐 Remote Logout (Force Logout từ SSO Server)

Mô tả

Tính năng cho phép SSO server gọi endpoint để force logout user đang đăng nhập trên client app. Hữu ích khi:

SSO server thay đổi quyền của user
SSO server yêu cầu bắt buộc logout (bảo mật, v.v.)
User bị vô hiệu hóa trên SSO server

SSO_REMOTE_LOGOUT_SECRET là gì?

SSO_REMOTE_LOGOUT_SECRET là một secret token dùng để xác thực các request từ SSO server khi gọi endpoint remote logout. Đây là một chuỗi bí mật được chia sẻ giữa SSO server và client app.

Mục đích:

Bảo mật: Chỉ SSO server biết secret mới có thể gọi endpoint force logout
Ngăn chặn: Tránh người lạ gọi endpoint và logout user bất hợp pháp
Audit: Log tất cả requests để theo dõi và audit

Cách tạo Secret

# Cách 1: Dùng PHP
php -r "echo bin2hex(random_bytes(32));"

# Cách 2: Dùng OpenSSL
openssl rand -hex 32

# Cách 3: Dùng Laravel Tinker
php artisan tinker
>>> bin2hex(random_bytes(32))

SSO Server gọi endpoint

Option 1: Dùng Header

curl -X POST https://your-app.com/remote-logout \
  -H "X-SSO-Secret: your-strong-secret-token-here" \
  -H "Content-Type: application/json" \
  -d '{"email": "user@example.com"}'

Option 2: Dùng Query Parameter

curl -X POST "https://your-app.com/remote-logout?secret=your-strong-secret-token-here" \
  -H "Content-Type: application/json" \
  -d '{"user_id": 123}'

Response

Success:

{
  "success": true,
  "message": "User logged out successfully",
  "identifier": "user@example.com"
}

Lưu Secret trong Database của SSO Server

Có thể lưu secret vào DB của SSO server không? ✅ Có, và đây là cách tốt!

Khi quản lý nhiều client apps, SSO server nên lưu secret của từng client vào database để:

Quản lý tập trung: Tất cả secrets ở một nơi
Dễ rotate: Có thể đổi secret mà không cần cập nhật code
Audit trail: Theo dõi lịch sử thay đổi secret
Multi-tenant: Mỗi client có secret riêng, độc lập

Cấu trúc Database đề xuất:

CREATE TABLE sso_clients (
    id BIGINT PRIMARY KEY AUTO_INCREMENT,
    client_id VARCHAR(255) UNIQUE NOT NULL,
    client_secret VARCHAR(255) NOT NULL,
    name VARCHAR(255) NOT NULL,
    redirect_uri TEXT,
    remote_logout_secret VARCHAR(255) NOT NULL,
    remote_logout_url VARCHAR(500),
    remote_logout_enabled BOOLEAN DEFAULT TRUE,
    created_at TIMESTAMP,
    updated_at TIMESTAMP
);

Laravel Model (SSO Server):

use Illuminate\Database\Eloquent\Casts\Encrypted;

class SSOClient extends Model
{
    protected $casts = [
        'remote_logout_secret' => Encrypted::class,
        'remote_logout_enabled' => 'boolean',
    ];

    public function forceLogoutUser($userId, $userEmail = null)
    {
        if (!$this->remote_logout_enabled) {
            return ['success' => false, 'message' => 'Remote logout disabled'];
        }

        $response = Http::withHeaders([
            'X-SSO-Secret' => $this->remote_logout_secret,
        ])->post($this->remote_logout_url, [
            'user_id' => $userId,
            'email' => $userEmail,
        ]);

        return $response->json();
    }
}

📝 Ví dụ sử dụng

Ví dụ đầy đủ

use THKHD\SsoClient\Facades\SSOClient;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Str;

// 1. Redirect to SSO
public function redirectToSSO(Request $request)
{
    $state = Str::random(40);
    $request->session()->put('sso_state', $state);
    $redirectUrl = SSOClient::buildAuthorizationUrl($state);
    return redirect($redirectUrl);
}

// 2. Handle callback
public function handleCallback(Request $request)
{
    $sessionState = $request->session()->pull('sso_state');
    $requestState = $request->query('state');
    
    if (!SSOClient::validateState($sessionState, $requestState)) {
        abort(403, 'Invalid state');
    }
    
    try {
        $tokenData = SSOClient::getAccessToken($request->code);
        $accessToken = $tokenData['access_token'];
        $userInfo = SSOClient::getUser($accessToken);
        
        $user = SSOClient::createOrUpdateUser($userInfo);
        
        // Store navigation menu (chỉ khi navigation_enabled = true)
        if (config('sso-client.navigation_enabled', true)) {
            $locale = $request->session()->get('locale', 'en');
            SSOClient::storeNavigationMenu($accessToken, $locale);
        }
        
        Auth::login($user, true);
        $request->session()->put('sso_token', $accessToken);
        $request->session()->put('sso_permissions', $userInfo['permissions'] ?? []);
        
        return redirect()->intended('/');
    } catch (\Exception $e) {
        logger()->error('SSO authentication failed', ['error' => $e->getMessage()]);
        return redirect()->route('login')->with('error', $e->getMessage());
    }
}