Puoi creare o autorizzare app che utilizzano Open Cloud API per accedere alle risorse Roblox. Open Cloud fornisce l'autenticazione per queste app utilizzando OAuth 2.0.
- Come creatore di esperienza o proprietario del gruppo
Puoi utilizzare in modo sicuro gli strumenti creati da altri per migliorare la tua produttività di creazione. La layer di autorizzazione OAuth 2.0 ti consente di concedere autorizzazioni a app di terze parti per accedere alle tue o alle esperienze del tuo Grupposenza fornire loro le tue credenziali e informazioni personali. Selezioni le autorizzazioni di accesso alle tue risorse Roblox specifiche e Roblox gestisce il processo di autorizzazione con il framework OAuth 2.0.
Devi avere un account 13+ per autorizzare le app OAuth 2.0.
- Come sviluppatore di app
Puoi creare app per te stesso e per gli altri nella comunità Roblox. OAuth 2.0 definisce i ruoli coinvolti nel processo di autorizzazione, il protocollo di come i ruoli interagiscono tra di loro e i flussi di autorizzazione che devi seguire per sviluppare app sicure e compatibili.
Devi essere identificato verificato per registrare e pubblicare app OAuth 2.0.
Ruoli
Il protocollo Open Cloud OAuth 2.0 ha i seguenti ruoli. È utile capire i ruoli specifici prima di imparare a interagire tra loro in flussi di autorizzazione.
Proprietario della risorsa : Un'entità in grado di concedere l'accesso a una risorsa protetta. Ad esempio, un creatore che consente a un'app di terze parti di accedere alle loro risorse Roblox attraverso Open Cloud Web API.
Server delle risorse : Un servizio Roblox che ospita le risorse protette e risponde alle richieste di un proprietario di risorse.
Cliente : Un'app che accede a risorse protette in nome del proprietario delle risorse (con l'autorizzazione del proprietario).
Server di autorizzazione : Il server Roblox che autentica l'identità del proprietario della risorsa e emette i gettoni di accesso al client.
Tipi di concessione
I flussi di autorizzazione o i tipi di concessione sono gli step delle azioni che i ruoli eseguono durante il processo di autorizzazione. Roblox supporta il flusso di autorizzazione OAuth 2.0 e la sua Prova chiave per il codice scambio (PKCE) estensione, con diversi requisiti di implementazione per gli app che sono in grado o incapaci di memorizzare segreti client.
Flusso di autorizzazione
Attraverso il flusso di autorizzazione, un client scambia un codice di autorizzazione per un access token e un token di aggiornamento per completare il processo di autorizzazione nei seguenti passaggi:
Il client invia una richiesta di autorizzazione al Serverdi autorizzazione Roblox.
Il server di autorizzazione verifica l'identità del proprietario della risorsa.
Il server di autorizzazione riceve i permessi per l'accesso a risorse specifiche di Roblox dal proprietario delle risorse.
Il server di autorizzazione reindirizza il proprietario della risorsa al client con un codice di autorizzazione.
Il client richiede un token di accesso utilizzando il codice di autorizzazione all'interno del punto di accesso del token.
Il client riceve una risposta dall'endpoint del token che contiene un access token, un token ID e un token di aggiornamento.
Il client recupera le risorse autorizzate dopo aver ottenuto il token di accesso.
La seguente figura descrive le interazioni tra ruoli nel flusso di autorizzazione che leggi nelle sezioni seguenti:
Autorizzazione del flusso con PKCE
L'estensione PKCE del codice di autorizzazione aiuta a ridurre il rischio di perdere il codice di autorizzazione e impedire la contraffazione delle richieste tra siti (CSRF), un attacco che inganna gli utenti nel presentare richieste non intenzionali. Questo flusso completa il processo di autorizzazione con i seguenti passaggi:
Il client genera una chiave unica e criptograficamente casuale chiamata verificatore di codice per ogni Richiestadi autorizzazione.
Il client genera un algoritmo di crittografia a SHA-256 sul verificatore del codice per generare una sfida del codice .
Se il client:
È un cliente pubblico, invece di utilizzare il segreto del cliente, passa l'ID del cliente e la sfida del codice nella Richiestadi autorizzazione.
È un cliente confidenziale, aggiunge la sfida del codice insieme all'ID e alla segreteria della Richiesta.
Il client invia una richiesta di autorizzazione al Serverdi autorizzazione Roblox.
Il server di autorizzazione verifica l'identità del proprietario della risorsa.
Il server di autorizzazione riceve i permessi per l'accesso a risorse specifiche di Roblox dal proprietario delle risorse.
Il server di autorizzazione reindirizza il proprietario della risorsa al client con un codice di autorizzazione.
Il client include il codice di autorizzazione e il verificatore di codice originale nella richiesta di token all'endpoint del token .
Il server di autorizzazione verifica il codice di autorizzazione e il relativo verificatore di codice.
Il client riceve una risposta dall'endpoint del token che contiene un access token, un token ID e un token di aggiornamento.
Il client recupera le risorse autorizzate dopo aver ottenuto il token di accesso.
OpenID Connect Supporto
Roblox usa OpenID Connect (OIDC) come identificatore di livello in alto del protocollo OAuth 2.0 per la protezione delle informazioni degli account sensibili. OIDC consente alle applicazioni di verificare l'identità degli utenti e ottenere le loro informazioni di profilo pubblico, come l'ID dell'utente, i nomi utente, i nomi visualizzati e le informazioni del profilo.
Quando aggiungere scopi di autorizzazione alla tua app su Creator Dashboard , assicurati di selezionare lo scopo di identità openid per ricevere un ID token nella risposta del token come parte del processo di autenticazione.
Registrazione e implementazione
Per implementare un'app web o mobile che utilizza il flusso di autorizzazione, è necessario:
Registra la tua app con Roblox. Ciò ti consente di ottenere un ID client e un segreto per registrare la tua app con Roblox e fare chiamate ai tuoi endpoint.
implementa il flusso di autorizzazione del codice. Per un riferimento completo dei punti di interruzione OAuth 2.0 che devi chiamare, vedi la riferimento Autenticazione.
Passa attraverso il processo di revisione per ottenere più quota utente.