Visión general de OAuth 2.0

*Este contenido se traduce usando la IA (Beta) y puede contener errores. Para ver esta página en inglés, haz clic en aquí.

Puedes construir o autorizar aplicaciones que usen APIs de Open Cloud para acceder a los recursos de Roblox. Open Cloud proporciona autenticación para estas aplicaciones utilizando OAuth 2.0.

Como creador de juegos o propietario de un grupo

Puedes usar de manera segura herramientas creadas por otros para mejorar tu productividad en la creación. La capa de autorización OAuth 2.0 te permite otorgar permisos a aplicaciones de terceros para acceder a tus juegos o los de tu grupo sin darles tus credenciales e información personal. Tú seleccionas los permisos de acceso a tus recursos específicos de Roblox, y Roblox se encarga del proceso de autorización para ti con el marco de OAuth 2.0.

Como desarrollador de aplicaciones

Puedes crear aplicaciones para ti y otros en la comunidad de Roblox. OAuth 2.0 define los roles involucrados en el proceso de autorización, el protocolo sobre cómo los roles interactúan entre sí, y los flujos de autorización que necesitas seguir para desarrollar aplicaciones seguras y compatibles.

Roles

El protocolo OAuth 2.0 de Open Cloud tiene los siguientes roles. Es útil entender los roles específicos antes de aprender cómo interactúan entre sí en los flujos de autorización.

  • Propietario del recurso: Una entidad capaz de otorgar acceso a un recurso protegido. Por ejemplo, un creador que permite a una aplicación de terceros acceder a sus recursos de Roblox a través de Open Cloud Web APIs.

  • Servidor de recursos: Un servicio de Roblox que alberga recursos protegidos y responde a las solicitudes de un propietario de recursos.

  • Cliente: Una aplicación que accede a recursos protegidos en nombre del propietario del recurso (con la autorización del propietario).

  • Servidor de autorización: El servidor de Roblox que autentica la identidad del propietario del recurso y emite tokens de acceso al cliente.

Tipos de concesión

Los flujos de autorización, o tipos de concesión, son los pasos de acciones que los roles realizan durante el proceso de autorización. Roblox soporta el flujo de código de autorización OAuth 2.0 y su extensión Proof Key for Code Exchange (PKCE), con diferentes requisitos de implementación para aplicaciones que son capaces o incapaces de almacenar secretos de cliente.

Flujo de código de autorización

A través del flujo de código de autorización, un cliente intercambia un código de autorización por un token de acceso y un token de actualización para completar el proceso de autorización en los siguientes pasos:

  1. El cliente envía una solicitud de autorización al servidor de autorización de Roblox.

  2. El servidor de autorización verifica la identidad del propietario del recurso.

  3. El servidor de autorización recibe permisos para acceder a recursos específicos de Roblox del propietario del recurso.

  4. El servidor de autorización redirige al propietario del recurso de vuelta al cliente con un código de autorización.

  5. El cliente solicita un token de acceso utilizando el código de autorización en el punto final del token.

  6. El cliente recibe una respuesta del punto final del token que contiene un token de acceso, un token de ID y un token de actualización.

  7. El cliente recupera los recursos permitidos después de obtener el token de acceso.

La siguiente figura describe las interacciones entre los roles en el flujo de código de autorización que leerás en las siguientes secciones:

Flujo de código de autorización con PKCE

La extensión PKCE del flujo de código de autorización ayuda a reducir el riesgo de filtración del código de autorización y prevenir el ataque de falsificación de solicitudes entre sitios (CSRF), un ataque que engaña a los usuarios para que envíen solicitudes web no deseadas. Este flujo completa el proceso de autorización con los siguientes pasos:

  1. El cliente genera una clave única y criptográficamente aleatoria llamada verificador de código para cada solicitud de autorización.

  2. El cliente ejecuta un algoritmo de hash SHA-256 sobre el verificador de código para generar un reto de código.

  3. Si el cliente:

    • Es un cliente público, en lugar de usar el secreto del cliente, pasa el ID del cliente y el reto de código en la solicitud de autorización.

    • Es un cliente confidencial, añade el reto de código junto con el ID del cliente y el secreto en la solicitud.

  4. El cliente envía una solicitud de autorización al servidor de autorización de Roblox.

  5. El servidor de autorización verifica la identidad del propietario del recurso.

  6. El servidor de autorización recibe permisos para acceder a recursos específicos de Roblox del propietario del recurso.

  7. El servidor de autorización redirige al propietario del recurso de vuelta al cliente con un código de autorización.

  8. El cliente incluye el código de autorización y el verificador de código original en la solicitud de token al punto final del token.

  9. El servidor de autorización verifica el código de autorización y el verificador de código asociado.

  10. El cliente recibe una respuesta del punto final del token que contiene un token de acceso, un token de ID y un token de actualización.

  11. El cliente recupera los recursos permitidos después de obtener el token de acceso.

Soporte para OpenID Connect

Roblox utiliza OpenID Connect (OIDC) como una capa de identidad sobre el protocolo OAuth 2.0 para la autenticación y proteger la información sensible de la cuenta. OIDC permite a las aplicaciones verificar la identidad de los usuarios y obtener su información básica de perfil público, como el ID de usuario, nombres de usuario, nombres para mostrar y enlaces de perfil.

Registro e implementación

Para implementar una aplicación web o móvil que utilice el flujo de código de autorización, necesitas:

  1. Registrar tu aplicación con Roblox. Esto te permite obtener un ID de cliente y un secreto para registrar tu aplicación con Roblox y hacer llamadas a tus puntos finales.

  2. Implementar el flujo de código de autorización. Para una referencia completa de los puntos finales de OAuth 2.0 que necesitas llamar, consulta la referencia de Autenticación.

  3. Pasar por el proceso de revisión para obtener más cuota de usuario.

©2026 Roblox Corporation. Roblox, el logotipo de Roblox y "Powering Imagination" son algunas de nuestras marcas registradas y no registradas en los Estados Unidos y otros países.