跳轉到主要內容

總覽

InsForge 可以作為 OAuth 2.0 身分提供者,允許第三方應用程式透過「使用 InsForge 登入」來驗證使用者身分。這讓在您的平台上進行開發的開發者能夠運用 InsForge 的身分驗證系統,而不必自行管理使用者憑證。

使用情境

開發者平台

允許第三方開發者使用「使用 InsForge 登入」建立整合,同時您仍保有對使用者資料存取的控制權。

AI 代理與 MCP

透過以 OAuth 為基礎的授權,使用 Model Context Protocol 驗證 AI 代理與 LLM 工具的身分。

合作夥伴應用程式

允許合作夥伴應用程式針對您的 InsForge 專案驗證使用者身分,而不必共享憑證。

CLI 與桌面應用程式

為需要 API 存取權限的命令列工具與桌面應用程式核發 OAuth 權杖。

OAuth 2.0 流程

InsForge 實作了搭配 PKCE(Proof Key for Code Exchange,程式碼交換驗證金鑰)的授權碼流程(Authorization Code flow),這是適用於 Web 與原生應用程式最安全的 OAuth 流程。

快速開始

1

註冊您的應用程式

聯絡 InsForge 將您的應用程式註冊為 OAuth 用戶端。您將取得:
  • Client ID(用戶端 ID):您應用程式的公開識別碼
  • Client Secret(用戶端密鑰):用於伺服器端權杖交換的機密金鑰
  • Allowed Redirect URIs(允許的重新導向 URI):使用者在授權後可被重新導向到的 URL
2

設定範圍(Scopes)

定義您的應用程式需要哪些權限:
範圍說明
user:read讀取使用者個人資料資訊
organizations:read列出使用者所屬的組織
projects:read讀取專案中繼資料
projects:write建立與修改專案
3

實作授權流程

使用下方的端點將 OAuth 流程整合到您的應用程式中。

端點

授權端點

將使用者重新導向到此端點以啟動 OAuth 流程。
查詢參數:
參數是否必需說明
client_id您應用程式的用戶端 ID
redirect_uri授權後重新導向的 URL(必須事先註冊)
response_type必須為 code
scope以空格分隔的範圍清單
state用於 CSRF 防護的隨機字串
code_challengePKCE 代碼質詢(經 base64url 編碼的 SHA256 雜湊值)
code_challenge_method必須為 S256
範例:

權杖端點

用授權碼交換存取權杖與更新權杖。
請求本文(JSON):
回應:

更新權杖

用更新權杖交換新的存取權杖。
請求本文(JSON):

使用者個人資料端點

取得已驗證使用者的個人資料資訊。
回應:

實作指南

產生 PKCE 參數

PKCE 透過確保發起流程的應用程式與完成流程的應用程式為同一個,增加了一層額外的安全保障。

完整的伺服器端範例

這是一個完整的 Express.js 實作範例。首先,建立一個包含您憑證的 .env 檔案:
使用以下指令產生安全的工作階段密鑰:node -e "console.log(require('crypto').randomBytes(32).toString('hex'))"
接著實作 OAuth 流程:

單頁應用程式的彈出視窗模式

對於單頁應用程式(SPA),您可以在彈出視窗中開啟 OAuth 流程:
在您的回呼處理常式中,向父視窗傳送訊息:

安全注意事項

務必使用 PKCE

所有 OAuth 流程都必須使用 PKCE。它可以防止授權碼遭攔截攻擊。

驗證 State 參數

務必在回呼中驗證 state 參數,以防止 CSRF 攻擊。

安全的權杖儲存

將存取權杖儲存在記憶體中或安全的 httpOnly cookie 中。切勿將權杖暴露在 URL 或 localStorage 中。

使用 HTTPS

正式環境中所有 OAuth 端點皆要求使用 HTTPS。切勿透過未加密的連線傳輸權杖。

較短的權杖有效期限

存取權杖將於 1 小時後過期。使用更新權杖即可在不必重新驗證身分的情況下取得新的存取權杖。

最小化範圍

僅請求您應用程式所需的範圍。使用者較願意核准有限的權限。

權杖聲明(Claims)

存取權杖是包含以下聲明的 JWT:
聲明說明
sub使用者 ID(UUID)
email使用者的電子郵件地址
role使用者角色(authenticated
client_id請求該權杖的 OAuth 用戶端 ID
scope已授予的範圍
iat簽發時間戳記
exp過期時間戳記
iss簽發者(insforge
aud受眾(insforge-api

錯誤處理

授權錯誤

若授權失敗,使用者將被重新導向到您的 redirect_uri,並附帶錯誤參數:
常見錯誤代碼:
錯誤說明
invalid_request缺少參數或參數無效
unauthorized_client用戶端未獲授權使用此授權類型
access_denied使用者拒絕了授權請求
invalid_scope請求的範圍無效或未知

權杖錯誤

權杖端點的錯誤將以 JSON 格式回傳:
錯誤說明
invalid_grant授權碼已過期、已被使用,或驗證器不相符
invalid_client用戶端身分驗證失敗
invalid_request缺少必要的參數

速率限制

OAuth 端點受到速率限制以防止濫用:
端點限制
/authorize每個 IP 每分鐘 100 次請求
/token每個用戶端每分鐘 50 次請求
/profile每個權杖每分鐘 100 次請求

資源

OAuth 範例儲存庫

完整可執行的範例,展示如何將「使用 InsForge 登入」整合到您的應用程式中。