跳转到主要内容

概述

InsForge 可以作为 OAuth 2.0 身份提供商,允许第三方应用程序通过”使用 InsForge 登录”来验证用户身份。这使得在您的平台上进行开发的开发者能够利用 InsForge 的身份验证系统,而无需管理自己的用户凭据。

使用场景

开发者平台

允许第三方开发者使用”使用 InsForge 登录”构建集成,同时您仍保持对用户数据访问的控制。

AI 智能体与 MCP

通过基于 OAuth 的授权,使用模型上下文协议(Model Context Protocol)验证 AI 智能体和 LLM 工具的身份。

合作伙伴应用

允许合作伙伴应用程序针对您的 InsForge 项目验证用户身份,而无需共享凭据。

CLI 与桌面应用

为需要 API 访问权限的命令行工具和桌面应用程序颁发 OAuth 令牌。

OAuth 2.0 流程

InsForge 实现了带 PKCE(Proof Key for Code Exchange,代码交换验证密钥)的授权码流程(Authorization Code flow),这是适用于 Web 和原生应用程序的最安全的 OAuth 流程。

快速开始

1

注册您的应用程序

联系 InsForge 将您的应用程序注册为 OAuth 客户端。您将获得:
  • Client ID(客户端 ID):您应用程序的公开标识符
  • Client Secret(客户端密钥):用于服务器端令牌交换的机密密钥
  • Allowed Redirect URIs(允许的重定向 URI):用户在授权后可被重定向到的 URL
2

配置作用域

定义您的应用程序需要哪些权限:
作用域说明
user:read读取用户资料信息
organizations:read列出用户所属的组织
projects:read读取项目元数据
projects:write创建和修改项目
3

实现授权流程

使用下方的端点将 OAuth 流程集成到您的应用程序中。

端点

授权端点

将用户重定向到此端点以启动 OAuth 流程。
查询参数:
参数是否必需说明
client_id您应用程序的客户端 ID
redirect_uri授权后重定向的 URL(必须预先注册)
response_type必须为 code
scope以空格分隔的作用域列表
state用于 CSRF 防护的随机字符串
code_challengePKCE 代码质询(经 base64url 编码的 SHA256 哈希值)
code_challenge_method必须为 S256
示例:

令牌端点

用授权码交换访问令牌和刷新令牌。
请求正文(JSON):
响应:

刷新令牌

用刷新令牌交换新的访问令牌。
请求正文(JSON):

用户资料端点

获取已验证用户的资料信息。
响应:

实现指南

生成 PKCE 参数

PKCE 通过确保发起流程的应用程序与完成流程的应用程序是同一个,增加了一层额外的安全保障。

完整的服务器端示例

这是一个完整的 Express.js 实现示例。首先,创建一个包含您凭据的 .env 文件:
使用以下命令生成安全的会话密钥:node -e "console.log(require('crypto').randomBytes(32).toString('hex'))"
接下来实现 OAuth 流程:

单页应用的弹窗模式

对于单页应用程序(SPA),您可以在弹出窗口中打开 OAuth 流程:
在您的回调处理程序中,向父窗口发送消息:

安全注意事项

务必使用 PKCE

所有 OAuth 流程都必须使用 PKCE。它可以防止授权码被拦截攻击。

验证 State 参数

始终在回调中验证 state 参数,以防止 CSRF 攻击。

安全的令牌存储

将访问令牌存储在内存中或安全的 httpOnly cookie 中。切勿将令牌暴露在 URL 或 localStorage 中。

使用 HTTPS

生产环境中所有 OAuth 端点都要求使用 HTTPS。切勿通过未加密的连接传输令牌。

较短的令牌有效期

访问令牌将在 1 小时后过期。使用刷新令牌可以在无需重新验证身份的情况下获取新的访问令牌。

最小化作用域

仅请求您应用程序所需的作用域。用户更有可能批准有限的权限。

令牌声明

访问令牌是包含以下声明的 JWT:
声明说明
sub用户 ID(UUID)
email用户的电子邮件地址
role用户角色(authenticated
client_id请求该令牌的 OAuth 客户端 ID
scope已授予的作用域
iat签发时间戳
exp过期时间戳
iss签发者(insforge
aud受众(insforge-api

错误处理

授权错误

如果授权失败,用户将被重定向到您的 redirect_uri,并附带错误参数:
常见错误代码:
错误说明
invalid_request缺少参数或参数无效
unauthorized_client客户端未获授权使用此授权类型
access_denied用户拒绝了授权请求
invalid_scope请求的作用域无效或未知

令牌错误

令牌端点的错误将以 JSON 格式返回:
错误说明
invalid_grant授权码已过期、已被使用,或验证器不匹配
invalid_client客户端身份验证失败
invalid_request缺少必需的参数

速率限制

OAuth 端点受到速率限制以防止滥用:
端点限制
/authorize每个 IP 每分钟 100 次请求
/token每个客户端每分钟 50 次请求
/profile每个令牌每分钟 100 次请求

资源

OAuth 示例仓库

完整可运行的示例,展示如何将”使用 InsForge 登录”集成到您的应用程序中。