總覽
InsForge 可以作為 OAuth 2.0 身分提供者,允許第三方應用程式透過「使用 InsForge 登入」來驗證使用者身分。這讓在您的平台上進行開發的開發者能夠運用 InsForge 的身分驗證系統,而不必自行管理使用者憑證。使用情境
開發者平台
允許第三方開發者使用「使用 InsForge 登入」建立整合,同時您仍保有對使用者資料存取的控制權。
AI 代理與 MCP
透過以 OAuth 為基礎的授權,使用 Model Context Protocol 驗證 AI 代理與 LLM 工具的身分。
合作夥伴應用程式
允許合作夥伴應用程式針對您的 InsForge 專案驗證使用者身分,而不必共享憑證。
CLI 與桌面應用程式
為需要 API 存取權限的命令列工具與桌面應用程式核發 OAuth 權杖。
OAuth 2.0 流程
InsForge 實作了搭配 PKCE(Proof Key for Code Exchange,程式碼交換驗證金鑰)的授權碼流程(Authorization Code flow),這是適用於 Web 與原生應用程式最安全的 OAuth 流程。快速開始
註冊您的應用程式
聯絡 InsForge 將您的應用程式註冊為 OAuth 用戶端。您將取得:
- Client ID(用戶端 ID):您應用程式的公開識別碼
- Client Secret(用戶端密鑰):用於伺服器端權杖交換的機密金鑰
- Allowed Redirect URIs(允許的重新導向 URI):使用者在授權後可被重新導向到的 URL
設定範圍(Scopes)
定義您的應用程式需要哪些權限:
| 範圍 | 說明 |
|---|---|
user:read | 讀取使用者個人資料資訊 |
organizations:read | 列出使用者所屬的組織 |
projects:read | 讀取專案中繼資料 |
projects:write | 建立與修改專案 |
端點
授權端點
將使用者重新導向到此端點以啟動 OAuth 流程。| 參數 | 是否必需 | 說明 |
|---|---|---|
client_id | 是 | 您應用程式的用戶端 ID |
redirect_uri | 是 | 授權後重新導向的 URL(必須事先註冊) |
response_type | 是 | 必須為 code |
scope | 是 | 以空格分隔的範圍清單 |
state | 是 | 用於 CSRF 防護的隨機字串 |
code_challenge | 是 | PKCE 代碼質詢(經 base64url 編碼的 SHA256 雜湊值) |
code_challenge_method | 是 | 必須為 S256 |
權杖端點
用授權碼交換存取權杖與更新權杖。更新權杖
用更新權杖交換新的存取權杖。使用者個人資料端點
取得已驗證使用者的個人資料資訊。實作指南
產生 PKCE 參數
PKCE 透過確保發起流程的應用程式與完成流程的應用程式為同一個,增加了一層額外的安全保障。- Node.js
- Python
- 瀏覽器(Web Crypto)
完整的伺服器端範例
這是一個完整的 Express.js 實作範例。首先,建立一個包含您憑證的.env 檔案:
使用以下指令產生安全的工作階段密鑰:
node -e "console.log(require('crypto').randomBytes(32).toString('hex'))"單頁應用程式的彈出視窗模式
對於單頁應用程式(SPA),您可以在彈出視窗中開啟 OAuth 流程:安全注意事項
務必使用 PKCE
所有 OAuth 流程都必須使用 PKCE。它可以防止授權碼遭攔截攻擊。
驗證 State 參數
務必在回呼中驗證 state 參數,以防止 CSRF 攻擊。
安全的權杖儲存
將存取權杖儲存在記憶體中或安全的 httpOnly cookie 中。切勿將權杖暴露在 URL 或 localStorage 中。
使用 HTTPS
正式環境中所有 OAuth 端點皆要求使用 HTTPS。切勿透過未加密的連線傳輸權杖。
較短的權杖有效期限
存取權杖將於 1 小時後過期。使用更新權杖即可在不必重新驗證身分的情況下取得新的存取權杖。
最小化範圍
僅請求您應用程式所需的範圍。使用者較願意核准有限的權限。
權杖聲明(Claims)
存取權杖是包含以下聲明的 JWT:| 聲明 | 說明 |
|---|---|
sub | 使用者 ID(UUID) |
email | 使用者的電子郵件地址 |
role | 使用者角色(authenticated) |
client_id | 請求該權杖的 OAuth 用戶端 ID |
scope | 已授予的範圍 |
iat | 簽發時間戳記 |
exp | 過期時間戳記 |
iss | 簽發者(insforge) |
aud | 受眾(insforge-api) |
錯誤處理
授權錯誤
若授權失敗,使用者將被重新導向到您的redirect_uri,並附帶錯誤參數:
| 錯誤 | 說明 |
|---|---|
invalid_request | 缺少參數或參數無效 |
unauthorized_client | 用戶端未獲授權使用此授權類型 |
access_denied | 使用者拒絕了授權請求 |
invalid_scope | 請求的範圍無效或未知 |
權杖錯誤
權杖端點的錯誤將以 JSON 格式回傳:| 錯誤 | 說明 |
|---|---|
invalid_grant | 授權碼已過期、已被使用,或驗證器不相符 |
invalid_client | 用戶端身分驗證失敗 |
invalid_request | 缺少必要的參數 |
速率限制
OAuth 端點受到速率限制以防止濫用:| 端點 | 限制 |
|---|---|
/authorize | 每個 IP 每分鐘 100 次請求 |
/token | 每個用戶端每分鐘 50 次請求 |
/profile | 每個權杖每分鐘 100 次請求 |
資源
OAuth 範例儲存庫
完整可執行的範例,展示如何將「使用 InsForge 登入」整合到您的應用程式中。