Déclaration de sécurité importante
Principe « la sécurité d’abord » : lors du développement et du déploiement d’applications tierces, la sécurité est la considération la plus importante. Vous devez suivre strictement les principes de sécurité ci-dessous pour garantir la sécurité des données utilisateurs et du processus d’autorisation. Toute violation des principes de sécurité ci-dessus peut entraîner de graves vulnérabilités de sécurité !📋 Table des matières
- Vue d’ensemble
- Démarrage
- Flux d’autorisation OAuth2
- Référence de l’API
- SDK et exemples de code
- Bonnes pratiques de sécurité
- FAQ
- Support technique
Vue d’ensemble
Nous fournissons une API ouverte basée sur le standard OAuth2, permettant aux applications tierces d’accéder en toute sécurité aux informations de base et au solde du compte des utilisateurs. Grâce à notre service OAuth2, votre application peut :- 🚀 Connexion en un clic : les utilisateurs n’ont pas besoin de s’inscrire à nouveau, la connexion accorde automatiquement l’autorisation pour une expérience véritablement fluide
- 👤 Obtenir des informations utilisateur : accéder au profil de base de l’utilisateur (nom d’utilisateur, e-mail, etc.)
- 💰 Consulter le solde du compte : obtenir en temps réel le solde du compte de l’utilisateur
- 🔄 Redirection vers le rechargement : guider les utilisateurs vers notre page de rechargement pour réapprovisionner le compte
- 🔐 Rafraîchissement automatique des tokens : mécanisme intégré de refresh token pour un renouvellement de token transparent, améliorant l’expérience utilisateur
Démarrage
1. Enregistrer un compte développeur
Vous devez d’abord enregistrer un compte développeur dans notre système.2. Créer une application OAuth
Créez votre application OAuth dans la console développeur :API call example
3. Configurer l’URI de redirection
Assurez-vous que votre URI de redirection répond aux exigences suivantes :- Utilise le protocole HTTPS (en production)
- Pointe vers un endpoint de votre serveur (et non vers une page frontend)
- Le domaine est enregistré et accessible
- Le chemin est spécifique à l’endpoint API qui traite le callback
Flux d’autorisation OAuth2
Diagramme du flux sécurisé
Instructions pas à pas
Étape 1 : Guider l’utilisateur vers l’autorisation
Ajoutez un bouton de connexion sur votre page frontend. Lorsqu’il est cliqué, redirigez vers votre endpoint d’autorisation côté serveur :Frontend code - only responsible for redirecting
Étape 2 : Gestionnaire d’autorisation côté serveur
Implémentez le gestionnaire d’autorisation sur votre serveur :Server-side code
Étape 3 : Gérer le callback d’autorisation (côté serveur)
Server-side authorization callback handler
Étape 4 : Le frontend récupère les informations utilisateur
Frontend fetches user info via API proxy
Server-side API proxy
Référence de l’API
1. Endpoint d’autorisation
GET/api/oauth2/authorize
Guide l’utilisateur à travers l’autorisation OAuth2.
Paramètres :
Exigences de sécurité :
redirect_uridoit correspondre exactement à l’adresse enregistréestatedoit être une chaîne aléatoire générée côté serveur- HTTPS doit être utilisé (en production)
profile: accéder aux informations de base de l’utilisateur (nom d’utilisateur, e-mail)balance: accéder au solde du compte de l’utilisateur
2. Endpoint Token
POST/api/oauth2/token
Utilisé dans deux scénarios :
- Échanger un code d’autorisation contre un access token
- Utiliser un refresh token pour obtenir un nouvel access token
Paramètres pour la concession « refresh token » :
Exemple de réponse :
3. Endpoint d’informations utilisateur
GET/api/oauth2/userinfo
Obtenir les informations de base de l’utilisateur et le solde du compte.
En-tête de requête :
header
response
SDK et exemples de code
SDK JavaScript
Nous fournissons un SDK JavaScript complet que vous pouvez utiliser directement :Page de callback OAuth
Créez un fichier/oauth/callback.html :
Exemple backend Node.js
Pour une meilleure sécurité, il est recommandé de gérer leclient_secret côté backend :
Bonnes pratiques de sécurité
1. Protection du Client Secret
- ✅ Recommandé : stocker le
client_secretsur le serveur backend - ❌ À éviter : exposer le
client_secretdans du JavaScript frontend
2. Validation du paramètre State
3. Utilisation de HTTPS
- Doit utiliser
HTTPSen production - L’URI de callback doit utiliser
HTTPS - Toutes les requêtes API utilisent
HTTPS
4. Stockage sécurisé des tokens
5. Gestion des erreurs
FAQ
Q1 : Comment obtenir une véritable expérience de connexion en un clic ?
R : Il suffit d’ajouter le paramètreauto_authorize=true à l’URL d’autorisation. Après la connexion de l’utilisateur, l’autorisation sera accordée automatiquement, sans étape de confirmation supplémentaire :
Q2 : Les tokens se rafraîchissent-ils automatiquement ?
R : Oui, notre SDK intègre le rafraîchissement automatique des tokens :- Access token : valide 2 heures, rafraîchissement automatique 5 minutes avant expiration
- Refresh token : valide 30 jours, utilisé pour obtenir de nouveaux access tokens
- Rafraîchissement transparent : tous les appels API vérifient et rafraîchissent automatiquement les tokens expirés
- Nouvelle tentative en cas d’échec : si l’API renvoie une erreur 401, le SDK tentera automatiquement de rafraîchir le token et de réessayer
Q3 : Quelles informations utilisateur puis-je obtenir ?
R : Selon le scope autorisé, vous pouvez obtenir :- Scope
profile: nom d’utilisateur, e-mail - Scope
balance: informations sur le solde du compte
Q4 : Comment tester l’intégration OAuth ?
R :- Utilisez
HTTP localhosten développement pour les tests - Utilisez nos outils de test fournis pour vérifier le flux d’autorisation
- Vérifiez les requêtes réseau dans les outils de développement du navigateur
Q5 : Quels langages de programmation sont pris en charge ?
R : Notre API OAuth2 est standard et prend en charge tous les principaux langages de programmation :- JavaScript/Node.js
- Python
- PHP
- Java
- C#/.NET
- Go
- Ruby