Аутентификация с помощью Netlify API может позволить вашему веб-приложению управлять приложениями и развертываниями в Netlify от имени ваших пользователей. В этой статье я продемонстрирую, как вы можете настроить свое приложение для аутентификации с помощью Netlify API с использованием OAuth 2.0; многие показанные примеры будут относиться к настройке интеграции между Infisical и Netlify, но вы сможете адаптировать их к своему собственному варианту использования.
На высоком уровне нам нужно будет настроить приложение OAuth в Netlify и настроить поток OAuth 2.0 в нашем приложении для работы с ним.
Не знаете, что такое OAuth? Ознакомьтесь с букварем здесь.
Общий обзор
Прежде чем мы углубимся в то, как мы можем реализовать OAuth 2.0 с Netlify для доступа к Netlify API, полезно понять высокоуровневый поток, с которым мы будем иметь дело.
- (A) Перенаправить пользователя из браузера в Netlify: пользователь нажимает кнопку в браузере и перенаправляется в Netlify, где он может предоставить приложению доступ к своей учетной записи Netlify.
- (B) Вернуть пользователя из Netlify обратно в браузер: после предоставления пользователь перенаправляется обратно в браузер с помощью
code
. - (C) Выполните обмен кодом-токеном: отправьте
code
из браузера на сервер для обмена с Netlify. После обмена мы должны получить ответaccess_token
от Netlify. - (D) Используйте токен доступа для выполнения запросов к API Netlify:С помощью
access_token
мы теперь можем отправлять запросы к API Netlify от имени пользователя.
Классные компоненты. Теперь мы готовы реализовать OAuth 2.0 с Netlify для доступа к API Netlify.
Настройка приложения OAuth в Netlify
- Создайте учетную запись в Netlify здесь: https://www.netlify.com
- Начните с перехода к настройкам пользователя > Приложения > OAuth, чтобы создать новое приложение OAuth.
3. Создайте приложение OAuth.
В форме установите для URI перенаправления значение https://your-domain.com/integrations/netlify/oauth2/callback
; вы, конечно, можете выбрать свой собственный URL-адрес перенаправления на основе желаемой структуры маршрутизации. Это URL-адрес, на который Netlify перенаправит пользователя обратно после того, как он разрешит приложению доступ к своей учетной записи Netlify.
4. Получите Идентификатор клиента и Секрет для вашего приложения Netlify OAuth; держите их под рукой.
Настройка вашего веб-приложения для работы с приложением Netlify OAuth
5. Перенаправьте пользователя в Netlify из интерфейса вашего веб-приложения.
Во внешнем интерфейсе вашего веб-приложения создайте кнопку, при нажатии которой инициируется поток OAuth 2.0, перенаправляя пользователей в Netlify, чтобы они могли войти в систему и предоставить веб-приложению доступ к своей учетной записи Netlify. Обработчик кнопки должен содержать следующую логику:
// the client id from netlify const client_id = "" // create a CSRF token and store it locally const state = crypto.randomBytes(16).toString("hex"); localStorage.setItem("latestCSRFToken", state); // redirect the user to netlify const link = `https://app.netlify.com/authorize?client_id=${client_id}&response_type=code&state=${state}&redirect_uri=${window.location.origin}/integrations/netlify/oauth2/callback`; window.location.assign(link);
Здесь мы генерируем токен CSRF, который будет сохранен в локальном хранилище и отправлен в качестве параметра state
в Netlify; это связано с смягчением атаки межсайтовой подделки запросов (CSRF), которая выходит за рамки этой статьи.
Обратите внимание, что вам следует заменить redirect_uri
в link
на тот, который вы зарегистрировали на шаге 2 в Netlify. Когда пользователи нажимают кнопку, они должны быть перенаправлены на Netlify, как показано ниже:
6. Проверьте параметр state
при перенаправлении пользователя обратно в веб-приложение и отправьте code
на серверную часть.
Поскольку Netlify перенаправит пользователя обратно на redirect_uri
после того, как он войдет в систему и предоставит веб-приложению доступ к своей учетной записи Netlify, вам необходимо создать для него страницу для обработки следующей части потока OAuth 2.0. Здесь redirect_uri
будет иметь параметры code
и state
; вам следует проанализировать эти параметры из URL-адреса и убедиться, что параметр state
соответствует токену CSRF в локальном хранилище из шага 4. Если все в порядке, вы можете приступить к отправке code
в серверную часть веб-приложения для выполнения обмена code-token
.
const { code, state } = queryString.parse(router.asPath.split("?")[1]); // validate the state parameter if (state !== localStorage.getItem("latestCSRFToken") { localStorage.removeItem("latestCSRFToken"); // send the code to the backend const res = await axios.post("/api/oauth-token", { code }); }
7. Обменяйте code
на access_token
.
Теперь в серверной части вашего приложения вам следует выполнить обмен токенами кода с конечной точкой API Netlify.
await axios.post( "https://api.netlify.com/oauth/token", new URLSearchParams({ grant_type: "authorization_code", code, client_id: process.env.NETLIFY_CLIENT_ID, client_secret: process.env.NETLIFY_CLIENT_SECRET, redirect_uri: `your-domain/integrations/netlify/oauth2/callback`, }) );
8. Используйте access_token
для доступа к API Netlify от имени пользователя.
Теперь вы можете получить доступ к API Netlify от имени пользователя, включив access_token
в запросы, сделанные к API.
Вот и все!
Теперь вы знаете, как настроить приложение для аутентификации с помощью API Netlify с использованием OAuth.
Советы
Правильная реализация OAuth 2.0 имеет решающее значение для безопасности вашего приложения и пользователей.
Вот несколько практических советов, которые вам следует иметь в виду:
- Не прописывайте Идентификатор клиента и Секрет клиента для своего приложения где-либо в базе кода. Вместо этого вам следует безопасно хранить как Идентификатор клиента, так и Секрет клиента вашего приложения, предпочтительно в виде переменных среды приложения. Более того, вам следует рассмотреть возможность хранения этих учетных данных в секретном менеджере, таком как Infisical, и возвращать их обратно на сервер во время выполнения.
- Не выполняйте обмен кодом-токеном OAuth несколько раз. Обмен должен выполняться один раз, после чего вам следует управлять токенами доступа для выполнения всех последующих запросов к API службы. Поскольку с этими токенами следует обращаться безопасно, как и в моем предыдущем совете, вам также следует рассмотреть возможность хранения их в секретном менеджере.
— -
Infisical — платформа управления секретами с открытым исходным кодом.
Infisical (9,4 тыс.+ ⭐️) помогает тысячам команд и организаций хранить и синхронизировать секреты внутри своей команды и инфраструктуры.
Репозиторий GitHub: https://github.com/Infisical/infisical