OAuth 2.0-Übersicht

*Dieser Inhalt wurde mit KI (Beta) übersetzt und kann Fehler enthalten. Um diese Seite auf Englisch zu sehen, klicke hier.

Du kannst Apps erstellen oder autorisieren, die Open Cloud-APIs verwenden, um auf Roblox-Ressourcen zuzugreifen.Open Cloud bietet Authentifizierung für diese Apps mit OAuth 2.0.

Als Ersteller eines Erlebnisses oder Gruppenbesitzer

Du kannst sicher Werkzeuge verwenden, die von anderen erstellt wurden, um deine Schöpfungsproduktivität zu verbessern.Die OAuth 2.0-Autorisierungsschicht ermöglicht es Ihnen, Drittanwendungen Berechtigungen zu gewähren, um auf Ihre oder die Erfahrungen Ihrer Gruppe zuzugreifen, ohne ihnen Ihre Anmeldedaten und persönliche Informationen zu geben.Du wählst die Zugriffsberechtigungen deiner spezifischen Roblox-Ressourcen aus, und Roblox führt den Autorisierungsprozess für dich mit dem OAuth 2.0-Framework durch.

Als App-Entwickler

Du kannst Apps für dich selbst und andere in der Roblox-Community erstellen.OAuth 2.0 definiert die Rollen, die am Autorisierungsprozess beteiligt sind, das Protokoll, wie Rollen miteinander interagieren, und die Autorisierungsflüsse, denen Sie folgen müssen, um sichere und kompatible Apps zu entwickeln.

Rollen

Das Open Cloud OAuth 2.0-Protokoll hat die folgenden Rollen.Es ist nützlich, die spezifischen Rollen zu verstehen, bevor Sie lernen, wie sie in Autorisierungsflüssen miteinander interagieren.

  • Ressourcenbesitzer : Eine Entität, die Zugriff auf eine geschützte Ressource gewähren kann.Zum Beispiel ein Ersteller, der einer Drittanbieter-App erlaubt, ihre Roblox-Ressourcen über Open Cloud Web-APIs zuzugreifen.

  • Ressourcenserver : Ein Roblox-Service, der geschützte Ressourcen hostet und auf Anfragen eines Eigentümerantwortet.

  • Client : Eine App, die im Namen des Ressourcenbesitzers auf geschützte Ressourcen zugreift (mit der Erlaubnis des Eigentümer).

  • Autorisierungsserver : Der Roblox-Server, der die Identität des Ressourcenbesitzers authentifiziert und dem Client Zugriffstoken ausstellt.

Gewährungsarten

Autorisierungsflüsse oder Gewährungstypen sind die Schritte von Aktionen, die Rollen während des Autorisierungsprozesses ausführen.Roblox unterstützt den OAuth 2.0-Autorisierungscode-Fluss und seinen Beweis-Schlüssel für die Code-Austausch-Erweiterung (PKCE), mit unterschiedlichen Implementierungsanforderungen für Apps, die in der Lage sind oder nicht in der Lage sind, Client-Geheimnisse zu speichern.

Autorisierungscode-Fluss

Durch den Autorisierungscode-Fluss tauscht ein Client einen Autorisierungscode gegen ein Zugriffs-Token und ein Aktualisierungstoken ein, um den Autorisierungsprozess in den folgenden Schritten abzuschließen:

  1. Der Client sendet eine Autorisierungsanfrage an den Server.

  2. Der Autorisierungsserver überprüft die Identität des Eigentümer.

  3. Der Autorisierungsserver erhält Berechtigungen für den Zugriff auf bestimmte Roblox-Ressourcen vom Eigentümer.

  4. Der Autorisierungsserver leitet den Ressourcenbesitzer mit einem Codeszurück zum Client.

  5. Der Client fordert ein Zugriffs-Token mit dem Autorisierungscode am Token-Endpunkt an.

  6. Der Client erhält eine Antwort vom Token-Endpunkt, der einen Zugriffs-Token, eine ID-Token und ein Aktualisierungstoken enthält.

  7. Der Client ruft die zulässigen Ressourcen ab, nachdem er das Zugriffstoken erhalten hat.

Die folgende Abbildung beschreibt die Interaktionen zwischen Rollen im Autorisierungscode-Fluss, die Sie in den folgenden Abschnitten lesen werden:

Autorisierungscode-Fluss mit PKCE

Die PKCE-Erweiterung des Autorisierungscode-Flusses hilft, das Risiko zu reduzieren, den Autorisierungscode zu verlassen, und verhindert Cross-Site-Anfrage-Fälschung (CSRF), einen Angriff, der Benutzer dazu bringt, unbeabsichtigte Webanfragen einzureichen.Dieser Fluss schließt den Autorisierungsprozess mit den folgenden Schritten ab:

  1. Der Client erzeugt einen einzigartigen und kryptografisch zufälligen Schlüssel namens Code-Prüfer für jede Anfrage.

  2. Der Client führt einen SHA-256-Hash-Algorithmus auf dem Code-Verifizierer aus, um eine Code-Herausforderung zu generieren.

  3. Wenn der Client:

    • Ist ein öffentlicher Client, anstatt den Client-Geheimnis zu verwenden, übermittelt er die Client-ID und die Code-Herausforderung in der Anfrage.

    • Ist ein vertraulicher Client, fügt er die Code-Herausforderung zusammen mit der Client-ID und dem Geheimnis in der Anfrage hinzu.

  4. Der Client sendet eine Autorisierungsanfrage an den Server.

  5. Der Autorisierungsserver überprüft die Identität des Eigentümer.

  6. Der Autorisierungsserver erhält Berechtigungen für den Zugriff auf bestimmte Roblox-Ressourcen vom Eigentümer.

  7. Der Autorisierungsserver leitet den Ressourcenbesitzer mit einem Codeszurück zum Client.

  8. Der Client enthält den Autorisierungscode und den ursprünglichen Code-Verifizierer in der Tokenanforderung an den Token-Endpunkt.

  9. Der Autorisierungsserver überprüft den Autorisierungscode und den damit verbundenen Codeprüfer.

  10. Der Client erhält eine Antwort vom Token-Endpunkt, der einen Zugriffs-Token, eine ID-Token und ein Aktualisierungstoken enthält.

  11. Der Client ruft die zulässigen Ressourcen ab, nachdem er das Zugriffstoken erhalten hat.

OpenID Support

Roblox verwendet OpenID Connect (OIDC) als Identitäts层 auf dem OAuth 2.0-Protokoll für die Authentifizierung, um sensible Kontodaten zu schützen.OIDC ermöglicht es Anwendungen, die Identität von Benutzern zu überprüfen und ihre grundlegenden öffentlichen Profilinformationen zu erhalten, wie Benutzer-ID, Benutzernamen, Display-Namen und Profil-Links.

Registrierung und Umsetzung

Um eine Web- oder Mobil-App zu implementieren, die den Autorisierungscode-Fluss verwendet, musst du:

  1. Registrieren deine App bei Roblox.Dadurch können Sie eine Client-ID und ein Geheimnis erhalten, um Ihre App bei Roblox zu registrieren und Anrufe an Ihre Endpunkte zu senden.

  2. Implementiere den Autorisierungscode-Fluss.Für eine vollständige Referenz der OAuth 2.0-Endpunkte, die du aufrufen musst, siehe die Authentifizierungs-Referenz.

  3. Gehen Sie durch den Überprüfungsprozess, um mehr Benutzerquote zu erhalten.