Vue d'ensemble d'OAuth 2.0

*Ce contenu est traduit en utilisant l'IA (Beta) et peut contenir des erreurs. Pour consulter cette page en anglais, clique ici.

Vous pouvez créer ou autoriser des applications qui utilisent les API Open Cloud pour accéder aux ressources Roblox. Open Cloud fournit une authentification pour ces applications en utilisant OAuth 2.0.

En tant que créateur de jeux ou propriétaire de groupe

Vous pouvez utiliser en toute sécurité des outils créés par d'autres pour améliorer votre productivité de création. La couche d'autorisation OAuth 2.0 vous permet d'accorder des permissions aux applications tierces pour accéder à vos jeux ou à ceux de votre groupe sans leur donner vos informations d'identification et vos informations personnelles. Vous sélectionnez les permissions d'accès à vos ressources Roblox spécifiques, et Roblox gère le processus d'autorisation pour vous avec le cadre OAuth 2.0.

En tant que développeur d'applications

Vous pouvez créer des applications pour vous-même et pour les autres dans la communauté Roblox. OAuth 2.0 définit les rôles impliqués dans le processus d'autorisation, le protocole de la manière dont les rôles interagissent entre eux et les flux d'autorisation que vous devez suivre pour développer des applications sécurisées et compatibles.

Rôles

Le protocole Open Cloud OAuth 2.0 a les rôles suivants. Il est utile de comprendre les rôles spécifiques avant d'apprendre comment ils interagissent les uns avec les autres dans les flux d'autorisation.

  • Propriétaire de ressource : Une entité capable d'accorder l'accès à une ressource protégée. Par exemple, un créateur qui permet à une application tierce d'accéder à ses ressources Roblox via les API Web Open Cloud.

  • Serveur de ressources : Un service Roblox qui héberge des ressources protégées et répond aux demandes d'un propriétaire de ressource.

  • Client : Une application qui accède aux ressources protégées en son nom (avec l'autorisation du propriétaire).

  • Serveur d'autorisation : Le serveur Roblox qui authentifie l'identité du propriétaire de ressource et délivre des jetons d'accès au client.

Types de grant

Les flux d'autorisation, ou types de grant, sont les étapes des actions que les rôles effectuent durant le processus d'autorisation. Roblox prend en charge le flux de code d'autorisation OAuth 2.0 et son extension Proof Key for Code Exchange (PKCE), avec des exigences d'implémentation différentes pour les applications capables ou incapables de stocker des secrets de client.

Flux de code d'autorisation

À travers le flux de code d'autorisation, un client échange un code d'autorisation contre un jeton d'accès et un jeton de rafraîchissement pour compléter le processus d'autorisation dans les étapes suivantes :

  1. Le client envoie une demande d'autorisation au serveur d'autorisation de Roblox.

  2. Le serveur d'autorisation vérifie l'identité du propriétaire de ressource.

  3. Le serveur d'autorisation reçoit les permissions pour accéder à des ressources Roblox spécifiques du propriétaire de ressource.

  4. Le serveur d'autorisation redirige le propriétaire de ressource vers le client avec un code d'autorisation.

  5. Le client demande un jeton d'accès en utilisant le code d'autorisation à l'endpoint de jeton.

  6. Le client reçoit une réponse de l'endpoint de jeton contenant un jeton d'accès, un jeton d'identité et un jeton de rafraîchissement.

  7. Le client récupère les ressources autorisées après avoir obtenu le jeton d'accès.

La figure suivante décrit les interactions entre les rôles dans le flux de code d'autorisation que vous lirez dans les sections suivantes :

Flux de code d'autorisation avec PKCE

L'extension PKCE du flux de code d'autorisation aide à réduire le risque de fuite du code d'autorisation et à prévenir la falsification de requêtes inter-sites (CSRF), une attaque qui trompe les utilisateurs pour qu'ils soumettent des requêtes Web non désirées. Ce flux complète le processus d'autorisation avec les étapes suivantes :

  1. Le client génère une clé unique et cryptographiquement aléatoire appelée un code verifier pour chaque demande d'autorisation.

  2. Le client exécute un algorithme de hachage SHA-256 sur le code verifier pour générer un code challenge.

  3. Si le client :

    • Est un client public, au lieu d'utiliser le secret du client, il transmet l'ID du client et le code challenge dans la demande d'autorisation.

    • Est un client confidentiel, il ajoute le code challenge avec l'ID du client et le secret dans la demande.

  4. Le client envoie une demande d'autorisation au serveur d'autorisation de Roblox.

  5. Le serveur d'autorisation vérifie l'identité du propriétaire de ressource.

  6. Le serveur d'autorisation reçoit les permissions pour accéder à des ressources Roblox spécifiques du propriétaire de ressource.

  7. Le serveur d'autorisation redirige le propriétaire de ressource vers le client avec un code d'autorisation.

  8. Le client inclut le code d'autorisation et le code verifier original dans la demande de jeton à l'endpoint de jeton.

  9. Le serveur d'autorisation vérifie le code d'autorisation et le code verifier associé.

  10. Le client reçoit une réponse de l'endpoint de jeton contenant un jeton d'accès, un jeton d'identité et un jeton de rafraîchissement.

  11. Le client récupère les ressources autorisées après avoir obtenu le jeton d'accès.

Support OpenID Connect

Roblox utilise OpenID Connect (OIDC) comme une couche d'identité au-dessus du protocole OAuth 2.0 pour l'authentification afin de protéger les informations sensibles du compte. OIDC permet aux applications de vérifier l'identité des utilisateurs et d'obtenir leurs informations de profil public de base, telles que l'ID utilisateur, les noms d'utilisateur, les noms d'affichage et les liens de profil.

Enregistrement et mise en œuvre

Pour mettre en œuvre une application web ou mobile qui utilise le flux de code d'autorisation, vous devez :

  1. Enregistrer votre application auprès de Roblox. Cela vous permet d'obtenir un ID de client et un secret pour enregistrer votre application auprès de Roblox et effectuer des appels à vos endpoints.

  2. Mettre en œuvre le flux de code d'autorisation. Pour une référence complète des endpoints OAuth 2.0 que vous devez appeler, consultez la référence Authentification.

  3. Passer par le processus de révision pour obtenir un quota utilisateur supplémentaire.

©2026 Société Roblox. Roblox, le logo Roblox et Powering Imagination font partie de nos marques déposées aux États-Unis et dans d'autres pays.