¿Cómo gestionar el límite de vida útil de los tokens de acceso a GitLab?

Publicado el 14 de agosto de 2024|Categorías: Tutoriales|Etiquetas: Gitlab, PHP, Programación web|0 Comentarios|

A partir de mayo de 2024 GitLab ha dejado de dar soporte a los tokens de acceso sin fecha de expiración, de esta forma el token que veníamos usando desde 2018 ha dejado de funcionar y nos ha generado un grave problema en nuestros plugins para WordPress y en nuestros plugins para WooCommerce que gestionan sus actualizaciones desde nuestro repositorio privado ya que han dejado de conectarse con el viejo token de acceso y tampoco lo hacen haciendo público el repositorio.

El problema es que no podemos dejar configurado un token en el código de los plugin que va a terminar por desaparecer en un plazo máximo de 365, así que hemos tenido que fabricar un pequeño código PHP que se encarga de regenerar la vida útil del nuevo token de acceso utilizando la API de rotación de GitLab.

¿Cómo lo hemos resuelto?

En nuestro sitio web hemos creado un evento programado que se ejecuta cada seis meses, ya que según hemos comprado la rotación genera una fecha máxima de once meses a pesar de indicarle un año. El código PHP que hemos tenido que fabricar es muy similar a este:

Copiar al portapapeles

<?php
//Gestión del token de GitLab
if ( ! wp_next_scheduled ( 'apg_regenera_token' ) ) {
    $fecha  = new DateTime( "+6 months", new DateTimeZone( get_option( 'timezone_string' ) ) );
    wp_schedule_single_event( $fecha->getTimestamp(), 'apg_regenera_token' );
}
function apg_regeneracion_token() {
    //Recoge el token actual
    $nombre_fichero = ABSPATH . "fichero_que_contiene_el_token.ext";
    $fichero        = fopen( $nombre_fichero, "r" );
    $token          = fread( $fichero, filesize( $nombre_fichero ) );
    fclose( $fichero );

//Argumentos
    $argumentos = [
        'headers'   => [
            'PRIVATE-TOKEN' => $token
        ] 
    ];

//Recoge el ID actual
    $respuesta      = wp_remote_get( "https://gitlab.com/api/v4/personal_access_tokens?search=Plugins&state=active", $argumentos );
    $tokens         = json_decode( wp_remote_retrieve_body( $respuesta ) );
    $token_obj      = $tokens[ 0 ] ?? null;

if ( $token_obj ) {
        //Genera el nuevo token
        $fecha          = new DateTime( '+1 year', new DateTimeZone( get_option( 'timezone_string' ) ?: 'Europe/Madrid' ) );
        $respuesta      = wp_remote_post( 'https://gitlab.com/api/v4/personal_access_tokens/' . $token_obj->id . '/rotate?expires_at=' . $fecha->format( 'Y-m-d' ), $argumentos );
        $nuevo_token    = json_decode( wp_remote_retrieve_body( $respuesta ) );
        //Lo guarda en el fichero
        $fichero        = fopen( $nombre_fichero, "w" );
        fwrite( $fichero, $nuevo_token->token );
        fclose( $fichero );
    } else {
        //Hay algún problema
        wp_mail( "cuenta@dominio.ext", "Problema con la API", print_r( $tokens, true ) );
    }
}
add_action( 'apg_regenera_token', 'apg_regeneracion_token', 10 );

Básicamente lo que hace el evento apg_regenera_token es leer el token original que hemos guardado previamente en el fichero fichero_que_contiene_el_token.ext, hace una consulta vía GET para obtener la lista completa de los tokens de acceso que tenemos configurados en GitLab y busca uno cuyo nombre sea Plugins y que esté activo, que es el que nos interesa actualizar, en tu caso debes poner el nombre que hayas utilizado.

Una vez localizado el ID interno de este token genera una nueva consulta vía POST para añadir al token una fecha de expiración de un año, al hacerlo automáticamente se genera un nuevo token que almacenamos de nuevo en fichero_que_contiene_el_token.ext para poder ser utilizado la próxima vez. En caso de que haya ocurrido algún error nos enviará un correo electrónico con la información que ha recepcionado en la primera consulta para poder corregir lo que necesitemos antes de perder la conexión definitivamente.

El token almacenado en el fichero fichero_que_contiene_el_token.ext lo podemos leer siempre que lo necesitemos con el siguiente código PHP:

Copiar al portapapeles

De esta forma tan sencilla podemos regenerar el token de acceso automáticamente cada seis meses y podemos leerlo tantas veces como necesitemos obteniendo siempre el último token almacenado para garantizarnos el acceso de forma permanente.

¿Y cómo lo utilizo en un producto descargable de WooCommerce?

En nuestro caso los plugins premium se descargan directamente desde el repositorio privado de GitLab. La URL de descarga de los ficheros tienen una estructura similar a esta: https://gitlab.com/api/v4/projects/xxxx/repository/archive.zip/?private_token=yyyy

El problema es que el token privado ahora no es siempre el mismo y necesitamos leerlo desde el fichero que lo almacena, además la URL de descarga que se indica en el producto descargable de WooCommerce tiene que tener una extensión válida como .zip, .pdf, .jpg, .mp3, o similar, pero en ningún caso va a admitir una extensión .php, por ejemplo.

Para solucionar este nuevo problema hemos creado otro código PHP similar a este:

Copiar al portapapeles

//Genera la URL de descarga de los plugins
function apg_escucha_url_descarga() {
    //¿AJAX? no gracias
    if ( defined( 'DOING_AJAX' ) && DOING_AJAX ) {
        return;
    }

//¿Panel de administración? no gracias
    if ( is_admin() ) {
        return;
    }

if ( strpos( filter_input( INPUT_SERVER, 'REQUEST_URI' ), 'fichero.zip' ) !== false ) { //URL de escucha
        //Recoge el token actual
        $nombre_fichero = ABSPATH . "fichero_que_contiene_el_token.ext";
        $fichero        = fopen( $nombre_fichero, "r" );
        $token          = fread( $fichero, filesize( $nombre_fichero ) );
        fclose( $fichero );

if ( isset( $_REQUEST[ 'plugin'] ) ) {
            //Genera la URL de descarga
            switch( $_REQUEST[ 'plugin'] ) {
                case "APG-WCMG": //WC - APG myGESTIÓN
                    $url    = "https://gitlab.com/api/v4/projects/xxxx/repository/archive.zip/?private_token=$token";
                    $nombre = "wc-apg-mygestion.zip";
                    break;
                case "APG-WCC4": //WC - APG Cont4
                    $url    = "https://gitlab.com/api/v4/projects/yyyy/repository/archive.zip/?private_token=$token";
                    $nombre = "wc-apg-cont4.zip";
                    break;
                case "APG-WCES": //WC - APG ecoSoftWEB
                    $url    = "https://gitlab.com/api/v4/projects/zzzz/repository/archive.zip/?private_token=$token";
                    $nombre = "wc-apg-ecowebsoft.zip";
                    break;
            }
            //Descarga y devuelve el plugin
            $fichero_zip    = download_url( $url );
            header( "Content-type: application/zip" );
            header( "Content-Disposition: attachment; filename=$nombre" );
            header( "Content-length: " . filesize( $fichero_zip ) );
            header( "Pragma: no-cache" );
            header( "Expires: 0" );
            readfile( "$fichero_zip" );

status_header( 200 );
            exit();
        }
    }
}
add_action( 'parse_request', 'apg_escucha_url_descarga', PHP_INT_MAX );

Gracias a este nuevo código podemos indicar una URL de descarga con esta estructura: https://dominio.ext/fichero.zip?plugin=APG-WCES.

Básicamente lo que va a ocurrir al abrir esta URL dinámica es que se va a descargar el fichero ZIP original temporalmente desde el repositorio de GitLab y va a devolver el fichero descargado para facilitar su descarga directa desde el navegador. Hay que recordar que WooCommerce enmascara esta URL dinámica, por lo que el cliente nunca tiene acceso a la misma de forma directa, pero sí tiene acceso a la descarga directa del fichero ZIP.

Conclusión

Tras el problema que ha generado la nueva política de fechas de expiración de los tokens de acceso de GitLab no hemos tenido más remedio que darle una vuelta de tuerca al mismo para encontrar la mejor solución. Gracias al uso de la API de rotación de GitLab y a un poco de ingenio hemos resuelto un problema que en primera instancia nos resultaba bastante complicado.

Esperamos que os resulte útil este código para vuestros propios desarrollos y quedamos a la espera de vuestros comentarios.

Artículos relacionados

Comentarios

0 Comentarios

Más antiguos

Más recientes Más votados

Lista de correos de APG

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: (+)

Responsable: Art Project Group.
Fines del tratamiento: dar respuesta a las consultas o cualquier tipo de petición que sea realizada por el usuario a través de cualquiera de las formas de contacto que se ponen a su disposición en la página web. Envío de comunicaciones de productos o servicios (con su consentimiento).
Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información sobre el tratamiento en los Política de Privacidad.

Acepto el tratamiento de mis datos para las finalidades descritas. *

Art Project Group @artprojectgroup

Por fin tenemos selectores de color nativos en #WooCommerce . A partir de ahora será posible mostrar variaciones de color mediante muestras visuales, sin necesidad de extensiones adicionales.

Una mejora muy esperada para tiendas de moda, calzado y productos con múltiples colores.

Art Project Group @artprojectgroup

Se ha publicado #WooCommerce 10.8.1: corrige un error fatal durante la actualización a 10.8.0 y soluciona un fallo en el selector de tipo de negocio de WooPayments.

Recomendado actualizar cuanto antes si ya has pasado a la rama 10.8.

Art Project Group @artprojectgroup

Ayer se publicó #WooCommerce 10.8.0: mejoras de rendimiento, optimizaciones en el checkout y nuevas funciones para la gestión avanzada de productos y pedidos.

Una actualización enfocada en velocidad y escalabilidad para tiendas WooCommerce.

¡Actualiza!

Art Project Group @artprojectgroup

Tras cinco días de la publicación de #WordPress 7.0 y sin haber detectado ningún problema, actualizamos el 100% de los sitios web que gestionamos a la nueva versión.

¡Actualiza!

Art Project Group @artprojectgroup

No pinta mal la nueva gestión del catálogo que se quiere implementar en #WooCommerce .

Más información en https://developer.woocommerce.com/2026/05/21/reimagining-catalog-management/

¿Cómo lo hemos resuelto?

¿Y cómo lo utilizo en un producto descargable de WooCommerce?

Conclusión

Productos y servicios

Últimas publicaciones

Últimos comentarios

¡Suscríbete!

¡Lo que contamos en !