Yandex.Money APIを使用するためのPHPライブラリ

私は長い間新しいものを試してみたいと思っていましたが、仕事でYandex.Money APIを異なる言語で使用する例を書くことを提案したとき、私はこのチャレンジオファーを喜んで受け入れました。 ほとんどの場合、このような機能はさまざまなホスティングサイトのアプリケーションで使用されるため、最初にPHPで記述しようとする強い意思が決定されました。 さらに、その前のAPIも見たことがありません。 さらに、大学の研究室を除き、PHPの経験はありませんでした。 この事件は興味深いと約束された。

環境の選択

私が最初に出会ったのは、ホスティングにすぐに開発してデプロイすることはあまり便利ではないということです。 そして、ウェブ開発者向けに紳士用キットをダウンロードすることにしました。 学生時代から、デンワーという名前が記憶に浮かびました。 試しましたが、すぐに拒否しました。 彼は自分の人生を生きており、Apache confファイル内の何かを書き換えて設定しようとしたとき、彼は自分の裁量でそれを消去したか消去しませんでした。 つまり、私はそれを設定しなかったが、彼が私をしたことが判明した。 「私が馬を持っていたら-それは数字になるだろう...」と思い出した。 その結果、私はもちろん彼を打ち負かしましたが、より単純なWAMPサーバーを見つけることにしました。 Denwerは良い製品であり、それに反対するものは何もありませんが、ファックスやマニュアルを読みたくありませんでした。



Wiki で WAMPのリストを含むページを見つけ、それらを整理し始めました。 選択の主な基準はプロジェクトのサポート性であり、そのためビルドバージョンは多かれ少なかれ新鮮であり、インストール/起動が容易でした。 その結果、 The Uniform Serverを安全に推奨できます 。 インストールは不要です（アーカイブを解凍するだけです）。起動時にトレイにハングし、=を軽く押すと起動します。 彼は裁定をしなかったので、私は彼に決着をつけました。

OAuth認証

私は指示を読み、 ドキュメントをダウンロードし、サーベルを暴露し、戦闘に突入しました。 しかし、戦いでは、OAuth認証にすぐに負けてしまいました。 OAuthは、ユーザー名とパスワードをアプリケーションに入力および保存せずに、ユーザーのサービス/アカウントにアクセスする方法です。 これはTwitterの作成者から届いたもので、次のようなものです。サービス（この場合はYandex.Money）にリクエストを行い、ユーザーはYandex.Moneyサーバーでユーザー名/パスワードを入力し、アプリケーションにアカウントを使用する許可を与えます。 その後、Yandex.Moneyサーバーはアプリケーションにリダイレクトし、存続期間が非常に短い一時コードを取得します。 次に、Yandex.Moneyへの別の要求を通じて、このタイムコードをユーザーの定数トークンに変更し、動員解除として、すべての道路が開いています。



しかし、OAuth認証を行っている間に、セキュリティの問題に遭遇しました。 Yandex.Moneyサーバーにアクセスしようとしましたが、PHPは汚いことを誓い始め、証明書について何か言いました。 インターネットを少し調べてみると、アプリケーションがサーバーのSSL証明書を確認する必要があることに気付きました。 ユーザーの安全を確保するためにうまくやろうと思ったので、検索を続けました。 しかし、RuNetでのサーバー証明書検証の実装の健全な例はほとんどありません。 順番に説明します。



最初に、リクエストを送信するときにコードで証明書検証を登録する必要がありました。 証明書検証要求の送信に使用するcURLを強制するにはどうすればよいですか？ 私は検索を開始し、証明書エラーに関する最も一般的なアドバイスであるDISABLE Verificationに驚きました。 そして、これは多くのサイトやフォーラムで提供されています（たとえば、 こちら ）。 ホラー全般。 最も頻繁に提供されるコードは次のとおりです。



curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);







それを覚えて、子供たち、そして決して書かないでください。 「そして今、息子、私たちはあなたが忘れなければならない悪い言葉をすべて繰り返すでしょう。」 英語を話すインターネット上ですべてがそれほど悪いわけではないことを神に感謝し、すべてを説明するリンクを見つけました。 彼はそこに書かれている通りにやりました、そしてそれは働きました。



次に、Yandex.Moneyの公開証明書を自宅に保管する必要があったため、要求を送信するときに比較するものがありました。 私は完全に遅れているわけではありませんが、それでも私にはかなり難しいように思えました。 SSLを使用する際に将来役立つかもしれません。 https経由で目的のサイトにアクセスし、証明書を確認してエクスポートします。 しかし、それらは3つあり、どれが必要ですか？ 「棚からパイを取ります。 それらの2つがあります、真ん中のものを取ります。」 証明機関（ルート）および中間（Yandex）の証明書をエクスポートする必要があることがわかりました。 最終証明書は年に1回変更されます。チェーンに入力し、問題が発生したときに変更を忘れると、アプリケーションのすべてが破損します。 したがって、指定された2つの証明書のみをエクスポートし、1つのテキストファイルに保存するだけです（ スクリーンショット ）。 私のライブラリでは、彼はym.crtとして表示されます 。



その後、リクエストは私を獲得しました。 やった！ さらに技術の問題でした。 ドキュメントではすべてが明確でした。 実際、それが実際にコードドキュメントにコピーした理由です。 また、オブジェクトとして作成した予約を作成します。 私の意見では、オブジェクトを扱うのは便利で便利です。

暗号化

暗号化にはまだ小さな問題がありました。 最初に、ユーザートークンの保存/復元は、標準のMcrypt PHPライブラリによって実装されました。 しかし、結局のところ、彼女には問題があります。 たとえば、マニュアルに記載されている例から、廃止された関数はただちに機能しました。 他の関数は、それらを機能させたいという私の欲求に満ちており、失敗したモジュールの初期化についてのみ述べました。 理解する必要がありました。 それから、ホストはこのライブラリをあまり好きではないことが判明しました。 PHP 5.3でサイトを作成するときにMcryptモジュールがない理由をホスティング業者のサポートに尋ねました。 彼らは私に（逐語的に）答えました：「彼は5.2で長年バグがありました-モジュールとして5.3に自動的に追加しませんでした。5年ごとに記憶されますが、問題がありました。」 PHPに対称暗号化を実装した他の便利な標準ライブラリは見つかりませんでした（OpenSSLライブラリがありますが、これにはまったく適していません）。 その後、暗号化ライブラリをphpseclibに変更することにしました 。これはオープンで、一般的なAESアルゴリズムをサポートしています。 彼女はすぐに問題なく稼いだ。

機能と使用例

また、「猫のトレーニング」、またはむしろテストとデバッグのために、ライブラリ関数の呼び出しが行われました。その後、見栄えの良いレイアウトのためにレイアウトを使用し、コメントで満たされ、ライブラリの使用例を呼び出しました。



その結果、次のYandex.Money API関数の呼び出しが実装されました：アカウント情報、取引履歴、操作の詳細情報、他のユーザーへの送金。 長所と機能：

• OAuthユーザー認証。
• 作業セキュリティ（証明書チェーンの検証がサポートされています）;
• 作業の利便性（サーバーの応答はオブジェクトとして表されます）およびクイックスタート。
• データベースを使用せずに暗号化を使用してユーザートークンを保存するための比較的安全でシンプルなソリューション。 このソリューションの実装をリポジトリに簡単に書き換えることができます。

ライブラリ自体は、 ym.crt証明書チェーンファイルと、 次を含むym.phpファイルです。

• IYandexMoneyソフトウェアインターフェイス。
• YandexMoneyメインクラス（インターフェイス実装）;
• アクセス権を持つ列挙クラス（スコープ）;
• 補助クラス（APIへの要求の結果の出力の応答オブジェクト）。

このライブラリには、暗号化を実装する2つのファイルRijndael.phpとAES.phpが付属しています。 これらのファイルは、 phpseclibライブラリから取得されます。 トークンを保存および復元する方法を使用する場合に必要です。

注：PHPバージョン5と、httpリクエスト用のcUrl標準ライブラリを使用します。



詳細な例をインストールして見ていない人のために、いくつかの課題を示します。

APIを介してアカウントで操作を実行するには、ユーザーの許可、つまりトークンを取得する必要があります。 次の呼び出しで受信できます（たとえば、アカウント情報や取引履歴を表示するアクセス権があります）。

  YandexMoney :: authorize（Consts :: CLIENT_ID、 'account-info operation-history'、Consts :: REDIRECT_URL）;

 //次に、リダイレクトページでオブジェクトの作成とトークンの取得を開始します
 $ ym = new YandexMoney（定数:: CLIENT_ID、定数:: CERTIFICATE_CHAIN_PATH）;	
 $ token = $ ym-> receiveOAuthToken（$ _ GET ['code']、Consts :: REDIRECT_URL）; 

オブジェクト$ ymを作成すると、アプリケーション識別子と証明書チェーンへのサーバー上の絶対パス（ファイルym.crt）が渡されます。 それと、別のモジュールは通常、任意のモジュールの定数（この例ではconsts.php）に登録されます。

それでは、ユーザーのアカウントに関する情報を取得する方法を示しましょう。 同様に、オブジェクトを作成してからメソッドを呼び出し、ユーザートークンを渡します。

  $ ym = new YandexMoney（定数:: CLIENT_ID、定数:: CERTIFICATE_CHAIN_PATH）;
 $ accountInfoResponse = $ ym-> accountInfo（$トークン）;			

 echo 'アカウント番号：'。  $ accountInfoResponse-> getAccount（）。  「\ n」;
 echo 'Balance：'。  $ accountInfoResponse-> getBalance（）。  「\ n」;
 echo '通貨コード：'。  $ accountInfoResponse-> getCurrency（）。  「\ n」; 

受信したアカウント情報。



状況は他の課題と似ています。



その結果、彼らはこのライブラリをビッグネームSDKと呼び、それをGitHubに置くことにしました。

ご意見やご提案をお待ちしております。また、フォークやプルリクエストもご覧いただけます。