概述
InsForge 可以作为 OAuth 2.0 身份提供商,允许第三方应用程序通过”使用 InsForge 登录”来验证用户身份。这使得在您的平台上进行开发的开发者能够利用 InsForge 的身份验证系统,而无需管理自己的用户凭据。使用场景
开发者平台
允许第三方开发者使用”使用 InsForge 登录”构建集成,同时您仍保持对用户数据访问的控制。
AI 智能体与 MCP
通过基于 OAuth 的授权,使用模型上下文协议(Model Context Protocol)验证 AI 智能体和 LLM 工具的身份。
合作伙伴应用
允许合作伙伴应用程序针对您的 InsForge 项目验证用户身份,而无需共享凭据。
CLI 与桌面应用
为需要 API 访问权限的命令行工具和桌面应用程序颁发 OAuth 令牌。
OAuth 2.0 流程
InsForge 实现了带 PKCE(Proof Key for Code Exchange,代码交换验证密钥)的授权码流程(Authorization Code flow),这是适用于 Web 和原生应用程序的最安全的 OAuth 流程。快速开始
注册您的应用程序
联系 InsForge 将您的应用程序注册为 OAuth 客户端。您将获得:
- Client ID(客户端 ID):您应用程序的公开标识符
- Client Secret(客户端密钥):用于服务器端令牌交换的机密密钥
- Allowed Redirect URIs(允许的重定向 URI):用户在授权后可被重定向到的 URL
配置作用域
定义您的应用程序需要哪些权限:
| 作用域 | 说明 |
|---|---|
user:read | 读取用户资料信息 |
organizations:read | 列出用户所属的组织 |
projects:read | 读取项目元数据 |
projects:write | 创建和修改项目 |
端点
授权端点
将用户重定向到此端点以启动 OAuth 流程。| 参数 | 是否必需 | 说明 |
|---|---|---|
client_id | 是 | 您应用程序的客户端 ID |
redirect_uri | 是 | 授权后重定向的 URL(必须预先注册) |
response_type | 是 | 必须为 code |
scope | 是 | 以空格分隔的作用域列表 |
state | 是 | 用于 CSRF 防护的随机字符串 |
code_challenge | 是 | PKCE 代码质询(经 base64url 编码的 SHA256 哈希值) |
code_challenge_method | 是 | 必须为 S256 |
令牌端点
用授权码交换访问令牌和刷新令牌。刷新令牌
用刷新令牌交换新的访问令牌。用户资料端点
获取已验证用户的资料信息。实现指南
生成 PKCE 参数
PKCE 通过确保发起流程的应用程序与完成流程的应用程序是同一个,增加了一层额外的安全保障。- Node.js
- Python
- 浏览器(Web Crypto)
完整的服务器端示例
这是一个完整的 Express.js 实现示例。首先,创建一个包含您凭据的.env 文件:
使用以下命令生成安全的会话密钥:
node -e "console.log(require('crypto').randomBytes(32).toString('hex'))"单页应用的弹窗模式
对于单页应用程序(SPA),您可以在弹出窗口中打开 OAuth 流程:安全注意事项
务必使用 PKCE
所有 OAuth 流程都必须使用 PKCE。它可以防止授权码被拦截攻击。
验证 State 参数
始终在回调中验证 state 参数,以防止 CSRF 攻击。
安全的令牌存储
将访问令牌存储在内存中或安全的 httpOnly cookie 中。切勿将令牌暴露在 URL 或 localStorage 中。
使用 HTTPS
生产环境中所有 OAuth 端点都要求使用 HTTPS。切勿通过未加密的连接传输令牌。
较短的令牌有效期
访问令牌将在 1 小时后过期。使用刷新令牌可以在无需重新验证身份的情况下获取新的访问令牌。
最小化作用域
仅请求您应用程序所需的作用域。用户更有可能批准有限的权限。
令牌声明
访问令牌是包含以下声明的 JWT:| 声明 | 说明 |
|---|---|
sub | 用户 ID(UUID) |
email | 用户的电子邮件地址 |
role | 用户角色(authenticated) |
client_id | 请求该令牌的 OAuth 客户端 ID |
scope | 已授予的作用域 |
iat | 签发时间戳 |
exp | 过期时间戳 |
iss | 签发者(insforge) |
aud | 受众(insforge-api) |
错误处理
授权错误
如果授权失败,用户将被重定向到您的redirect_uri,并附带错误参数:
| 错误 | 说明 |
|---|---|
invalid_request | 缺少参数或参数无效 |
unauthorized_client | 客户端未获授权使用此授权类型 |
access_denied | 用户拒绝了授权请求 |
invalid_scope | 请求的作用域无效或未知 |
令牌错误
令牌端点的错误将以 JSON 格式返回:| 错误 | 说明 |
|---|---|
invalid_grant | 授权码已过期、已被使用,或验证器不匹配 |
invalid_client | 客户端身份验证失败 |
invalid_request | 缺少必需的参数 |
速率限制
OAuth 端点受到速率限制以防止滥用:| 端点 | 限制 |
|---|---|
/authorize | 每个 IP 每分钟 100 次请求 |
/token | 每个客户端每分钟 50 次请求 |
/profile | 每个令牌每分钟 100 次请求 |
资源
OAuth 示例仓库
完整可运行的示例,展示如何将”使用 InsForge 登录”集成到您的应用程序中。