Anda dapat membuat atau mengotorisasi aplikasi yang menggunakan API Cloud Terbuka untuk mengakses sumber daya Roblox.Open Cloud menyediakan autentikasi untuk aplikasi ini menggunakan OAuth 2.0.
- Sebagai pencipta pengalaman atau pemilik kelompok
Anda dapat menggunakan alat dengan aman yang dibuat oleh orang lain untuk meningkatkan produktivitas kreasi Anda.Lapisan otorisasi OAuth 2.0 memungkinkan Anda untuk memberikan izin ke aplikasi pihak ketiga untuk mengakses pengalaman Anda atau grupAnda tanpa memberikan kredensial dan informasi pribadi Anda.Anda memilih izin akses dari sumber Roblox khusus Anda, dan Roblox menangani proses otorisasi untuk Anda dengan framework OAuth 2.0.
Anda harus memiliki akun 13+ untuk mengotorisasi aplikasi OAuth 2.0.
- Sebagai pengembang aplikasi
Anda dapat membuat aplikasi untuk diri sendiri dan orang lain di komunitas Roblox.OAuth 2.0 mendefinisikan peran yang terlibat dalam proses otorisasi, protokol bagaimana peran berinteraksi satu sama lain, dan aliran otorisasi yang perlu Anda ikuti untuk mengembangkan aplikasi aman dan kompatibel.
Anda harus menjadi ID diverifikasi untuk mendaftar dan mempublikasikan aplikasi OAuth 2.0.
Peran
Protokol OAuth 2.0 Terbuka Cloud memiliki peran berikut.Berguna untuk memahami peran khusus sebelum mempelajari cara mereka berinteraksi satu sama lain dalam aliran otorisasi.
Pemilik sumber daya : Entitas yang mampu memberikan akses ke sumber daya terlindungi.Sebagai contoh, seorang pencipta yang memungkinkan aplikasi pihak ketiga untuk mengakses sumber daya Roblox mereka melalui API Web Cloud Terbuka.
Server sumber daya : Layanan Roblox yang menyimpan sumber daya terlindungi dan menanggapi permintaan dari pemilik sumber daya.
Klien : Aplikasi yang mengakses sumber daya terlindungi atas nama pemilik sumber daya (dengan otorisasi pemilik).
Server otorisasi : Server Roblox yang memverifikasi identitas pemilik sumber daya dan mengeluarkan token akses ke klien.
Jenis hibah
Alur otorisasi, atau memberikan jenis, adalah langkah tindakan yang dilakukan peran selama proses otorisasi.Roblox mendukung aliran kode otorisasi OAuth 2.0 dan kunci buktinya untuk ekstensi Pertukaran Kode (PKCE), dengan persyaratan implementasi yang berbeda untuk aplikasi yang mampu atau tidak mampu menyimpan rahasia klien.
Alur kode otorisasi
Melalui aliran kode otorisasi, klien menukar kode otorisasi untuk token akses dan token penyegaran untuk menyelesaikan proses otorisasi dalam langkah berikut:
Klien mengirim permintaan otorisasi ke server otorisasi Roblox.
Server otorisasi memverifikasi identitas pemilik sumber daya.
Server otorisasi menerima izin untuk mengakses sumber daya Roblox khusus dari pemilik sumber daya.
Server otorisasi mengarahkan pemilik sumber kembali ke klien dengan kode otorisasi.
Klien meminta token akses menggunakan kode otorisasi di akhir token.
Klien menerima respons dari titik akhir token yang berisi token akses, token identitas, dan token penyegaran.
Klien mengambil sumber daya yang diizinkan setelah mendapatkan token akses.
Gambar berikut menjelaskan interaksi antara peran dalam aliran kode otorisasi yang akan Anda baca di bagian berikut:
Alur kode otorisasi dengan PKCE
Ekstensi PKCE dari kode otorisasi membantu mengurangi risiko kebocoran kode otorisasi dan mencegah penipuan permintaan situs silang (CSRF), serangan yang menipu pengguna untuk mengirim permintaan web yang tidak dimaksudkan.Alur ini menyelesaikan proses otorisasi dengan langkah berikut:
Klien menghasilkan kunci unik dan secara kriptografis acak yang disebut pemeriksa kode untuk setiap permintaan otorisasi.
Klien menjalankan algoritma hash SHA-256 pada pemeriksa kode untuk menghasilkan tantangan kode.
Jika klient:
Apakah klien publik , bukan menggunakan rahasia klien, ia mengirimkan ID klien dan tantangan kode dalam permintaan otorisasi.
Apakah klien rahasia , itu menambahkan tantangan kode bersama dengan ID klien dan rahasia dalam permintaan.
Klien mengirim permintaan otorisasi ke server otorisasi Roblox.
Server otorisasi memverifikasi identitas pemilik sumber daya.
Server otorisasi menerima izin untuk mengakses sumber daya Roblox khusus dari pemilik sumber daya.
Server otorisasi mengarahkan pemilik sumber kembali ke klien dengan kode otorisasi.
Klien termasuk kode otorisasi dan verifikator kode asli dalam permintaan token ke titik akhir token.
Server otorisasi memverifikasi kode otorisasi dan verifikator kode terkait.
Klien menerima respons dari titik akhir token yang berisi token akses, token identitas, dan token penyegaran.
Klien mengambil sumber daya yang diizinkan setelah mendapatkan token akses.
Dukungan OpenID Connect
Roblox menggunakan OpenID Connect (OIDC) sebagai lapisan identitas di atas protokol OAuth 2.0 untuk melindungi informasi akun sensitif.OIDC memungkinkan aplikasi untuk memverifikasi identitas pengguna dan mendapatkan informasi profil publik dasar mereka, seperti ID pengguna, nama pengguna, nama tampilan, dan tautan profil.
Saat menambahkan scope izin ke aplikasi Anda di Dashboard Pencipta , pastikan untuk memilih scope identitas openid untuk menerima token ID dalam respons token sebagai bagian dari proses otentikasi.
Pendaftaran dan implementasi
Untuk menerapkan aplikasi web atau seluler yang menggunakan aliran kode otorisasi, Anda perlu:
Daftar aplikasi Anda dengan Roblox.Ini memungkinkan Anda mendapatkan ID klien dan rahasia untuk mendaftarkan aplikasi Anda dengan Roblox dan melakukan panggilan ke ujung Anda.
Terapkan aliran kode otorisasi.Untuk referensi lengkap dari akhir OAuth 2.0 yang perlu Anda panggil, lihat referensi Autentikasi.
Pergi melalui proses review untuk mendapatkan lebih banyak kuota pengguna.