Puede construir o autorizar aplicaciones que usan Open Cloud API para acceder a los recursos de Roblox. Open Cloud proporciona autentificación para estas aplicaciones usando OAuth 2.0.
- Como creador de experiencias o propietario del grupo
Puede utilizar con seguridad las herramientas creadas por otros para mejorar su productividad de creación. La capa de autorización OAuth 2.0 le permite conceder permisos a aplicaciones de terceros para acceder a sus experiencias o las de su grupo sin proporcionarles sus credenciales y información personal. Selecciona las autorizaciones de acceso de sus recursos de Roblox específicos, y Roblox maneja el proceso de autorización con el marco OAuth 2.0.
Debes tener una cuenta de 13+ para autorizar las aplicaciones de OAuth 2.0.
- Como desarrollador de aplicaciones
Puedes crear aplicaciones para ti y otros en la comunidad de Roblox. OAuth 2.0 define los roles involucrados en el proceso de autorización, el protocolo de cómo las roles interactúan entre sí y los flujos de autorización que necesitas seguir para desarrollar aplicaciones seguras y compatibles.
Debes tener una identificación verificada ID para registrar y publicar aplicaciones de OAuth 2.0.
Roles
El protocolo Open Cloud OAuth 2.0 tiene los siguientes roles. Es útil entender los roles específicos antes de aprender sobre cómo interactúan entre sí en los flujos de autorización.
Dueño de recursos : Entidad capaz de conceder acceso a un recurso protegido. Por ejemplo, un creador que permite a un tercero acceder a sus recursos de Roblox a través de Open Cloud Web APIs.
Servidor de recursos : Un servicio de Roblox que alberga recursos protegidos y responde a solicitudes de un propietario de recursos.
Cliente : Un cliente que accede a recursos protegidos en nombre del propietario del recurso (con el permiso del propietario).
Servidor de autorización : El servidor de Roblox que autentica la identidad del propietario de los recursos y emite fichas de acceso al cliente.
Tipos de Grant
Los flujos de autorización, o tipos de autorización, son los pasos del proceso de autorización que los roles realizan durante el proceso de autorización. Roblox soporta el código de autorización OAuth 2.0 y su Proof Key for Code Exchange (PKCE) extensión, con diferentes requisitos de implementación para las aplicaciones que son capaces o incapaces de almacenar secretos del cliente.
Flujo de código de autorización
A través del flujo de código de autorización, un cliente intercambia un código de autorización por un token de acceso y un token de actualización para completar el proceso de autorización en los siguientes pasos:
El cliente envía una solicitud de autorización al servidor de autorización de Roblox.
El servidor de autorización verifica la identidad del propietario de la recursos.
El servidor de autorización recibe permisos para acceder a recursos específicos de Roblox del propietario de los recursos.
El servidor de autorización redirige al propietario de los recursos al cliente con un código de autorización.
El cliente solicita un token de acceso usando el código de autorización en el punto de token.
El cliente recibe una respuesta desde el punto de interfaz de tokens que contiene un token de acceso, un token de ID y un token de actualización.
El cliente recupera los recursos permitidos después de obtener la llave de acceso.
La siguiente figura describe las interacciones entre los roles en el flujo de autorización que leerás en las siguientes secciones:
Autentificación de código con PKCE
La extensión PKCE del código de autorización ayuda a reducir el riesgo de filtrar el código de autorización y evitar la falsificación de solicitudes entre sitios (CSRF), un ataque que engaña a los usuarios para enviar solicitudes web no intencionales. Este flujo completa el proceso de autorización con los siguientes pasos:
El cliente genera una llave única y criptográficamente aleatoria llamada un verificador de código para cada solicitud de autorización.
El cliente ejecuta un algoritmo de cifratura SHA-256 en el verificador de código para generar un desafío de código.
Si el cliente:
Es un cliente público, en lugar de usar el secreto del cliente, pasa el ID del cliente y el desafío de código en la solicitud de autorización.
Es un cliente confidencial, agrega el desafío de código junto con el ID del cliente y el secreto en la solicitud.
El cliente envía una solicitud de autorización al servidor de autorización de Roblox.
El servidor de autorización verifica la identidad del propietario de la recursos.
El servidor de autorización recibe permisos para acceder a recursos específicos de Roblox del propietario de los recursos.
El servidor de autorización redirige al propietario de los recursos al cliente con un código de autorización.
El cliente incluye el código de autorización y el verificador de código original en la solicitud de tokens para el Token Endpoint .
El servidor de autorización verifica el código de autorización y el verificador de código asociado.
El cliente recibe una respuesta desde el punto de interfaz de tokens que contiene un token de acceso, un token de ID y un token de actualización.
El cliente recupera los recursos permitidos después de obtener la llave de acceso.
Soporte de conexión de OpenID
Roblox usa OpenID Connect (OIDC) como capa de identificación en la parte superior del protocolo OAuth 2.0 para proteger información de cuenta sensible. OIDC permite que las aplicaciones verifiquen la identificación de los usuarios y obtengan su información de perfil básica, como el ID del usuario, nombres de usuarios, nombres de pantalla y enlaces de perfil.
Cuando agregar rango de permiso a tu aplicación en Panel de Creator , asegúrate de seleccionar el rango de identificación openid para recibir un token de ID en la respuesta de token como parte del proceso de autentificación.
Registro y implementación
Para implementar una aplicación web o móvil que utilice el flujo de autorización, debe:
Registra tu aplicación con Roblox. Esto te permite obtener un ID de cliente y secreto para registrar tu aplicación con Roblox y realizar llamadas a tus puntos de destino.
Implantar el flujo de código de autorización. Para una referencia completa de los puntos de fin de la OAuth 2.0 que necesitas llamar, see the Autentificación referencia.
Ve a través del proceso de revisión para obtener más cuota de usuario.