Add Oauth2 providers

composer.json

@@ -4,7 +4,10 @@
         "onelogin/php-saml": "^3",
         "apereo/phpcas": "^1",
         "league/oauth2-client": "^2",
-        "psr/log": "^1"
+        "psr/log": "^1",
+        "vertisan/oauth2-twitch-helix": "^2.0",
+        "league/oauth2-google": "^4.0",
+        "league/oauth2-github": "^3.1"
     },
     "replace": {
         "psr/container": "*",

docs/08_extern_auth.md

@@ -65,6 +65,99 @@ rex_extension::register('YCOM_AUTH_SAML_MATCHING', function (rex_extension_point
 
 ## OAuth2
 
+## OAuth2 mit twitch
+
+Mit der OAuth2 Authentifizierung via twitch ist es möglich, sich mit einem twitch-Account in der YCOM zu registrieren und einzuloggen.
+Dazu muss dieser Provider entsprechend vorbereitet sein.
+
+### Einrichtung
+
+Im ersten Schritt muss man eine App anlegen bei twitch. Hierfür einmal zu https://dev.twitch.tv/console/apps wechseln. Dort über den Button "Deine Anwendung registrieren" eine neue App erstellen - Kategorie "Website integration" auswählen.
+
+Anschließend die App bearbeiten und die folgenden Einstellungen vornehmen:
+
+- Name: Name der App
+- OAuth Redirect URLs: https://your-url.com/maybe-a-subpage/?rex_ycom_auth_mode=oauth2_twitch&rex_ycom_auth_func=code
+- Category: Website Integration
+
+Anschließend die App speichern und die Client-ID kopieren.
+Dann ein neues Secret erzeugen und dieses ebenfalls kopieren / sichern.
+
+In den Ordner `redaxo/data/addons/ycom/` sollte bereits die Datei `oauth2_twitch.php` kopiert worden sein. Diese Datei muss nun entsprechend angepasst werden mit den kopierten Daten.
+
+Damit die Authentifizierung funktioniert, muss im Loginformular von YCOM folgender String (angepasst auf die eigenen Bedürfnisse) eingefügt werden:
+
+```php
+ycom_auth_oauth2_twitch|twitch|error_msg|[allowed returnTo domains: DomainA,DomainB]|{"ycom_groups": 1, "termsofuse_accepted": 1}|direct_link 0,1
+```
+
+#### Scope
+
+Zusätzlice Scopes lassen sich in der Datei `oauth2_twitch.php` als Array in der Variable `scopes` eintragen. Die Scopes müssen mit einem Komma getrennt werden. Weitere Scopes findet man hier: https://dev.twitch.tv/docs/authentication/scopes/ - z.B. `user:read:email` um die E-Mail-Adresse des Users zu erhalten (diese bringt der Provider aber bereits nativ mit).
+
+## OAuth2 mit Google
+
+Mit der OAuth2 Authentifizierung via Google ist es möglich, sich mit einem Google-Account in der YCOM zu registrieren und einzuloggen. Dazu muss dieser Provider entsprechend vorbereitet sein.
+
+### Einrichtung
+
+Im ersten Schritt muss man eine App anlegen bei Google. Hierfür einmal zu https://console.developers.google.com/ wechseln. Dort über den Button "Projekt auswählen" eine neues Projekt erstellen. Anschließend die App bearbeiten und die folgenden Einstellungen vornehmen:
+
+- OAuth Zustimmungsbildschirm: Einstellungen vornehmen
+-- Anwendungsname: Name der App
+-- Nutzersupport-E-Mail: E-Mail-Adresse für Support
+-- Anwendungslogo: Logo der App
+-- Startseite der App: Deine Domain
+-- Kontaktdaten des Entwicklers: E-Mail-Adresse für Support
+-- Autorisierte Domains: Deine Domain (optional für GSuite Nutzer)
+-- Bereiche:
+--- ./auth/userinfo.email (E-Mail-Adresse des Users)
+--- ./auth/userinfo.profile (Profilinformationen des Users)
+
+Anschließend auf Anmeldedaten klicken und die folgenden Einstellungen vornehmen:
+- Anmeldedaten erstellen: OAuth 2.0 Client IDs erstellen
+-- Autorisierte JavaScript-Quellen: Deine Domain
+-- Autorisierte Weiterleitungs-URIs: https://your-url.com/maybe-a-subpage/?rex_ycom_auth_mode=oauth2_google&rex_ycom_auth_func=code
+
+Danach kann die Client ID und der Clientschlüssel kopiert oder als JSON Datei heruntergeladen werden.
+
+In den Ordner `redaxo/data/addons/ycom/` sollte bereits die Datei `oauth2_google.php` kopiert worden sein. Diese Datei muss nun entsprechend angepasst werden mit den kopierten Daten.
+
+Damit die Authentifizierung funktioniert, muss im Loginformular von YCOM folgender String (angepasst auf die eigenen Bedürfnisse) eingefügt werden:
+
+```php
+ycom_auth_oauth2_google|label|error_msg|[allowed returnTo domains: DomainA,DomainB]|default Userdata as Json{"ycom_groups": 3, "termsofuse_accepted": 1}|direct_link 0,1
+```
+
+#### GSuite / Google Workspace Nutzer
+In der Datei `oauth2_google.php` kann die Variable `hostedDomain` mit der Domain des GSuite / Google Workspace Accounts befüllt werden. Damit wird die Anmeldung auf Nutzer mit dieser Domain beschränkt.
+
+## OAuth2 mit GitHub
+
+Mit der OAuth2 Authentifizierung via GitHub ist es möglich, sich mit einem GitHub-Account in der YCOM zu registrieren und einzuloggen. Dazu muss dieser Provider entsprechend vorbereitet sein.
+
+### Einrichtung
+
+Im ersten Schritt muss man eine App anlegen bei GitHub. Hierfür einmal zu https://github.com/settings/apps wechseln. Dort über den Button "New GitHub App" eine neue App erstellen. Anschließend die App bearbeiten und die folgenden Einstellungen vornehmen:
+
+- Name: Name der App
+- Callback-URL: https://your-url.com/maybe-a-subpage/?rex_ycom_auth_mode=oauth2_github&rex_ycom_auth_func=code
+- Haken setzen bei "Request user authorization (OAuth) during installation"
+- Webhook kann ausgemacht werden
+- Account Permissions: Email adresses => "Read-only" und Profile=> "Read & write" auswählen
+
+App speichern und die Client-ID kopieren.
+Dann ein neues Secret erzeugen und dieses ebenfalls kopieren / sichern.
+
+In den Ordner `redaxo/data/addons/ycom/` sollte bereits die Datei `oauth2_github.php` kopiert worden sein. Diese Datei muss nun entsprechend angepasst werden mit den kopierten Daten.
+
+Damit die Authentifizierung funktioniert, muss im Loginformular von YCOM folgender String (angepasst auf die eigenen Bedürfnisse) eingefügt werden:
+
+```php
+ycom_auth_oauth2_github|label|error_msg|[allowed returnTo domains: DomainA,DomainB]|default Userdata as Json{"ycom_groups": 2, "termsofuse_accepted": 1}|direct_link 0,1
+```
+
+
 ## Allgemeines
 
 ### Loginseite

install/tablesets/yform_user.json

@@ -390,6 +390,24 @@
                 "attributes": "",
                 "relation_table": "",
                 "filter": ""
+            },
+            {
+                "table_name": "rex_ycom_user",
+                "prio": 25,
+                "type_id": "value",
+                "type_name": "text",
+                "db_type": "",
+                "list_hidden": 1,
+                "search": 1,
+                "name": "user_image",
+                "label": "translate:image",
+                "not_required": "",
+                "default": "",
+                "no_db": "",
+                "notice": "",
+                "attributes": "",
+                "prepend": "",
+                "append": ""
             }
         ]
     },

lang/de_de.lang

@@ -26,6 +26,7 @@ rex_ycom_user = User
 email = E-Mail
 status = Status
 firstname = Vorname
+image = Bild
 activation_key = Aktivierungsschlüssel
 session_key = Sessionschlüssel
 last_login_time = Letzter erfolgreicher Login

plugins/auth/boot.php

@@ -49,6 +49,15 @@
             case 'oauth2':
                 $data = rex_extension::registerPoint(new rex_extension_point('YCOM_AUTH_OAUTH2_MATCHING', $data, ['Userdata' => $Userdata]));
                 break;
+            case 'oauth2_twitch':
+                $data = rex_extension::registerPoint(new rex_extension_point('YCOM_AUTH_OAUTH2_TWITCH_MATCHING', $data, ['Userdata' => $Userdata]));
+                break;
+            case 'oauth2_google':
+                $data = rex_extension::registerPoint(new rex_extension_point('YCOM_AUTH_OAUTH2_GOOGLE_MATCHING', $data, ['Userdata' => $Userdata]));
+                break;
+            case 'oauth2_github':
+                $data = rex_extension::registerPoint(new rex_extension_point('YCOM_AUTH_OAUTH2_GITHUB_MATCHING', $data, ['Userdata' => $Userdata]));
+                break;
             case 'saml':
                 $data = rex_extension::registerPoint(new rex_extension_point('YCOM_AUTH_SAML_MATCHING', $data, ['Userdata' => $Userdata]));
                 break;

plugins/auth/install.php

@@ -46,7 +46,7 @@
     rex_sql::factory()->setQuery('UPDATE rex_article SET `ycom_auth_type` = `ycom_auth_type` -1');
 }
 
-foreach (['saml', 'oauth2', 'cas'] as $settingType) {
+foreach (['saml', 'oauth2', 'oauth2_twitch', 'oauth2_google', 'oauth2_github', 'cas'] as $settingType) {
     $pathFrom = __DIR__ . '/install/' . $settingType . '.php';
     $pathTo = rex_addon::get('ycom')->getDataPath($settingType . '.php');
     if (!file_exists($pathTo)) {

plugins/auth/install/oauth2_github.php

@@ -0,0 +1,7 @@
+<?php
+
+$settings = [
+    'clientId' => 'someJibberish',    // Go to https://github.com/settings/apps and setup a Github app. Fill out, add return url, set scopes in Account permissions: Email addresses => Read only, Profile => Read and write
+    'clientSecret' => 'moreJibbereish',   // In your project at https://github.com/settings/apps, click on your created project and then "Generate a new client secret".
+    'redirectUri' => 'https://your-url.com/maybe-a-subpage/?rex_ycom_auth_mode=oauth2_google&rex_ycom_auth_func=code', // do not fill out first and wait for the login error message to fill it out
+];

plugins/auth/install/oauth2_google.php

@@ -0,0 +1,8 @@
+<?php
+
+$settings = [
+    'clientId' => 'someJibberish',    // Go to https://console.cloud.google.com/ and setup a project. Setup an OAuth consent screen and choose scopes
+    'clientSecret' => 'moreJibbereish',   // In your project at https://console.cloud.google.com/, click on "Credential" and then "Create credentials => OAuth client ID". Fill out, add return url, get ID and secret
+    'redirectUri' => 'https://your-url.com/maybe-a-subpage/?rex_ycom_auth_mode=oauth2_google&rex_ycom_auth_func=code', // do not fill out first and wait for the login error message to fill it out
+    // 'hostedDomain' => 'your-url.com', // optional; used to restrict access to users on your G Suite/Google Apps for Business accounts
+];

plugins/auth/install/oauth2_twitch.php

@@ -0,0 +1,8 @@
+<?php
+
+$settings = [
+    'clientId' => 'someJibberish',    // Go to https://dev.twitch.tv/console/apps and create an app. The client ID from your app
+    'clientSecret' => 'moreJibbereish',   // In your app at https://dev.twitch.tv/console/apps, click on "Manage" and then "New Secret". The client password from your app
+    'redirectUri' => 'https://your-url.com/maybe-a-subpage/?rex_ycom_auth_mode=oauth2_twitch&rex_ycom_auth_func=code', // do not fill out first and wait for the login error message to fill it out - add it to your allowed domains in your app at https://dev.twitch.tv/console/apps
+    // 'scope' => 'user:read:email,user:read:follows',
+];