Przegląd OAuth 2.0

*Ta zawartość została przetłumaczona przy użyciu narzędzi AI (w wersji beta) i może zawierać błędy. Aby wyświetlić tę stronę w języku angielskim, kliknij tutaj.

Możesz tworzyć lub autoryzować aplikacje, które wykorzystują Open Cloud APIs do dostępu do zasobów Robloxa. Open Cloud zapewnia uwierzytelnianie dla tych aplikacji przy użyciu OAuth 2.0.

Jako twórca gier lub właściciel grupy

Możesz bezpiecznie korzystać z narzędzi stworzonych przez innych, aby zwiększyć swoją produktywność twórczą. Warstwa autoryzacji OAuth 2.0 pozwala Ci przyznawać uprawnienia aplikacjom stron trzecich do dostępu do gier Twoich lub Twojej grupy, bez konieczności podawania im swoich poświadczeń i danych osobowych. Wybierasz dostępne uprawnienia do swoich specyficznych zasobów Robloxa, a Roblox zajmuje się procesem autoryzacji za pomocą ram OAuth 2.0.

Jako deweloper aplikacji

Możesz tworzyć aplikacje dla siebie i innych w społeczności Robloxa. OAuth 2.0 definiuje role zaangażowane w proces autoryzacji, protokół w jaki role ze sobą współdziałają oraz ścieżki autoryzacyjne, które musisz przestrzegać, aby rozwijać bezpieczne i zgodne aplikacje.

Role

Protokół Open Cloud OAuth 2.0 ma następujące role. Zrozumienie konkretnych ról jest przydatne przed nauką o tym, jak ze sobą współdziałają w procesach autoryzacji.

  • Właściciel zasobów: Podmiot zdolny do przyznania dostępu do chronionego zasobu. Na przykład twórca, który pozwala aplikacji strony trzeciej na dostęp do swoich zasobów Robloxa za pośrednictwem Open Cloud Web APIs.

  • Serwer zasobów: Usługa Robloxa, która hostuje chronione zasoby i odpowiada na żądania od właściciela zasobów.

  • Klient: Aplikacja, która uzyskuje dostęp do chronionych zasobów w imieniu właściciela zasobów (za zgodą właściciela).

  • Serwer autoryzacji: Serwer Robloxa, który uwierzytelnia tożsamość właściciela zasobów i wydaje tokeny dostępu dla klienta.

Typy przyznania

Strumienie autoryzacji, lub typy przyznania, to kroki działań, które wykonywane są przez role w trakcie procesu autoryzacji. Roblox obsługuje strumień kodu autoryzacji OAuth 2.0 oraz jego rozszerzenie Proof Key for Code Exchange (PKCE), z różnymi wymaganiami implementacyjnymi dla aplikacji, które są zdolne lub niezdolne do przechowywania sekretów klientów.

Strumień kodu autoryzacji

Poprzez strumień kodu autoryzacji klient wymienia kod autoryzacji na token dostępu i token odświeżający, aby zakończyć proces autoryzacji w następujących krokach:

  1. Klient wysyła żądanie autoryzacji do serwera autoryzacji Robloxa.

  2. Serwer autoryzacji weryfikuje tożsamość właściciela zasobów.

  3. Serwer autoryzacji otrzymuje uprawnienia do dostępu do konkretnych zasobów Robloxa od właściciela zasobów.

  4. Serwer autoryzacji przekierowuje właściciela zasobów z powrotem do klienta z kodem autoryzacyjnym.

  5. Klient żąda tokenu dostępu, używając kodu autoryzacyjnego z punktu końcowego tokenów.

  6. Klient otrzymuje odpowiedź od punktu końcowego tokenów zawierającą token dostępu, token ID oraz token odświeżający.

  7. Klient odzyskuje dozwolone zasoby po uzyskaniu tokenu dostępu.

Poniższa figura opisuje interakcje między rolami w strumieniu kodu autoryzacji, które przeczytasz w kolejnych sekcjach:

Strumień kodu autoryzacji z PKCE

Rozszerzenie PKCE strumienia kodu autoryzacji pomaga zmniejszyć ryzyko wycieku kodu autoryzacyjnego i zapobiega atakowi typu cross-site request forgery (CSRF), który oszukuje użytkowników, aby przesyłali niezamierzone żądania internetowe. Ten strumień kończy proces autoryzacji według następujących kroków:

  1. Klient generuje unikalny i kryptograficznie losowy klucz zwany weryfikatorem kodu dla każdego żądania autoryzacji.

  2. Klient przeprowadza algorytm haszujący SHA-256 na weryfikatorze kodu, aby wygenerować wyzwanie kodu.

  3. Jeśli klient:

    • Jest klientem publicznym, zamiast używać sekretnych danych klienta, przesyła identyfikator klienta i wyzwanie kodu w żądaniu autoryzacyjnym.

    • Jest klientem poufnym, dodaje wyzwanie kodu razem z identyfikatorem klienta i sekretem w żądaniu.

  4. Klient wysyła żądanie autoryzacji do serwera autoryzacji Robloxa.

  5. Serwer autoryzacji weryfikuje tożsamość właściciela zasobów.

  6. Serwer autoryzacji otrzymuje uprawnienia do dostępu do konkretnych zasobów Robloxa od właściciela zasobów.

  7. Serwer autoryzacji przekierowuje właściciela zasobów z powrotem do klienta z kodem autoryzacyjnym.

  8. Klient dołącza kod autoryzacyjny i oryginalny weryfikator kodu w żądaniu tokenu do punktu końcowego tokenów.

  9. Serwer autoryzacji weryfikuje kod autoryzacyjny i powiązany weryfikator kodu.

  10. Klient otrzymuje odpowiedź z punktu końcowego tokenów zawierającą token dostępu, token ID oraz token odświeżający.

  11. Klient odzyskuje dozwolone zasoby po uzyskaniu tokenu dostępu.

Wsparcie OpenID Connect

Roblox używa OpenID Connect (OIDC) jako warstwy tożsamości na szczycie protokołu OAuth 2.0 w celu uwierzytelnienia w celu ochrony wrażliwych informacji o koncie. OIDC pozwala aplikacjom na weryfikację tożsamości użytkowników i uzyskiwanie ich podstawowych publicznych informacji profilowych, takich jak identyfikator użytkownika, nazwy użytkownika, wyświetlane nazwy i linki do profilu.

Rejestracja i implementacja

Aby wdrożyć aplikację internetową lub mobilną, której używasz ze strumieniem kodu autoryzacji, musisz:

  1. Zarejestrować swoją aplikację w Robloxsie. To pozwoli Ci uzyskać identyfikator klienta i sekret, aby zarejestrować swoją aplikację w Robloxsie i wykonywać wywołania do swoich punktów końcowych.

  2. Wdrożyć strumień kodu autoryzacji. Aby uzyskać pełny odnośnik do punktów końcowych OAuth 2.0, które musisz wywołać, zapoznaj się z odnośnikiem do Uwierzytelnianie.

  3. Przejść przez proces przeglądu aby uzyskać większy limit użytkowników.

©2026 Roblox Corporation. Nazwa Roblox, logo Roblox oraz hasło „Powering Imagination” należą do naszych zarejestrowanych i niezarejestrowanych znaków towarowych na terenie Stanów Zjednoczonych oraz w innych krajach.