GitHub App のユーザの特定と認可

GitHub Appは、Issueの作成、デプロイメントの作成、サポートされている他のエンドポイントの利用など、アクションをユーザの代わりに行うことができます。

ノート: ユーザトークンの期限設定は、現在オプションの機能であり、変更されることがあります。 ユーザからサーバーに対するトークンの期限設定にオプトインもしくはアウトするには、「アプリケーションのオプション機能を有効化する」を参照してください。 詳しい情報については「ユーザからサーバーへのアクセストークンの期限設定」を参照してください。

GitHub App がユーザの代わりに動作すると、ユーザからサーバーに対するリクエストを実行します。 こうしたリクエストは、ユーザのアクセストークンで承認される必要があります。 ユーザからサーバーに対するリクエストには、特定のユーザに対してどのリポジトリを表示するか決定するなど、ユーザに対するデータのリクエストが含まれます。 これらのリクエストには、ビルドの実行など、ユーザがトリガーしたアクションも含まれます。

ユーザからサーバーへのアクセストークンをさらにセキュアにするために、8時間後に期限切れとなるアクセストークンと、新しいアクセストークンと交換できるリフレッシュトークンを使用できます。 詳しい情報については「ユーザからサーバーへのアクセストークンのリフレッシュ」を参照してください。

サイト上のユーザを特定する

ブラウザで動作する標準的なアプリケーションでユーザを認可するには、Web アプリケーションフローを利用してください。

CLI ツールや Git 認証情報マネージャーなどの、ブラウザに直接アクセスしないヘッドレスアプリケーションでユーザを認可するには、デバイスフローを利用します。 デバイスフローは、OAuth 2.0 Device Authorization Grant を利用します。

Web アプリケーションフロー

Web アプリケーションフローを利用して、サイト上のユーザを特定するプロセスは以下の通りです。

  1. ユーザはGitHubのアイデンティティをリクエストするためにリダイレクトされます
  2. ユーザはGitHubによってサイトにリダイレクトして戻されます
  3. GitHub Appはユーザのアクセストークンで API にアクセスします

アプリケーションを作成または変更する際に [Request user authorization (OAuth) during installation] を選択した場合、アプリケーションのインストール中にステップ 1 が完了します。 詳しい情報については、「インストール中のユーザの認可」を参照してください。

1. ユーザのGitHubアイデンティティのリクエスト

GET https://github.com/login/oauth/authorize

GitHub Appがloginパラメータを指定すると、ユーザに対して利用できる特定のアカウントでサインインしてアプリケーションを認可するよう求めます。

パラメータ
名前種類説明
client_idstring必須。GitHub App のクライアント IDです。 アプリケーションを選択したときに、GitHub App 設定に表示されます。 Note: The app ID and client ID are not the same, and are not interchangeable.
redirect_uristring認可の後にユーザが送られるアプリケーション中のURL。 これは、GitHub App をセットアップする際にコールバック URL として指定された URL の 1つと一致させる必要があり、他の追加パラメータを含めることはできません。
statestringこれはフォージェリアタックを防ぐためにランダムな文字列を含める必要があり、あらゆる任意のデータを含めることができます。
loginstringサインインとアプリケーションの認可に使われるアカウントを指示します。
allow_signupstringWhether or not unauthenticated users will be offered an option to sign up for GitHub during the OAuth flow. デフォルトは true です。 ポリシーでサインアップが禁止されている場合はfalseを使ってください。

注釈: 認可リクエストにスコープを指定する必要はありません。 従来の OAuth とは異なり、認証トークンはGitHub App に紐付けられた権限およびユーザの権限に限定されます。

2. ユーザはGitHubによってサイトにリダイレクトして戻されます

ユーザがリクエストを受け付けると、GitHub は一時的なコードを code パラメータに、そして前のステップで渡された状態を state パラメータに入れてリダイレクトさせ、サイトに戻します。 状態が一致しない場合、そのリクエストは第三者が作成したものであり、プロセスを中止する必要があります。

注釈: アプリケーションを作成または変更する際に [Request user authorization (OAuth) during installation] を選択した場合、GitHub はアクセストークンと交換する必要がある一時的な code を返します。 アプリケーションのインストール中に GitHub が OAuth フローを開始した場合、state パラメータは返されません。

この code をアクセストークンと交換します。 トークンの期限設定が有効になっている場合、アクセストークンは 8 時間で期限切れとなり、リフレッシュトークンは 6 か月で期限切れとなります。 トークンを更新するたびに、新しいリフレッシュトークンを取得します。 詳しい情報については、「ユーザからサーバーに対するアクセストークンをリフレッシュする」を参照してください。

ユーザトークンの期限設定は、現在のところオプション機能であり、変更される可能性があります。 ユーザからサーバーに対するトークンの期限設定にオプトインするには、「アプリケーションのオプション機能を有効化する」を参照してください。

POST https://github.com/login/oauth/access_token
パラメータ
名前種類説明
client_idstring必須。GitHub App のクライアント ID。
client_secretstring必須。GitHub App のクライアントシークレット。
コードstring必須。 ステップ1でレスポンスとして受け取ったコード。
redirect_uristring認可の後にユーザが送られるアプリケーション中のURL。 これは、GitHub App をセットアップする際にコールバック URL として指定された URL の 1つと一致させる必要があり、他の追加パラメータを含めることはできません。
statestringステップ1で提供した推測できないランダムな文字列。
レスポンス

デフォルトでは、レスポンスは以下の形式になります。 レスポンスパラメータの expires_inrefresh_tokenrefresh_token_expires_in は、ユーザからサーバに対するアクセストークンの期限設定を有効にしている場合にのみ返されます。

{
  "access_token": "ghu_16C7e42F292c6912E7710c838347Ae178B4a",
  "expires_in": 28800,
  "refresh_token": "ghr_1B4a2e77838347a7E420ce178F2E7c6912E169246c34E1ccbF66C46812d16D5B1A9Dc86A1498",
  "refresh_token_expires_in": 15811200,
  "scope": "",
  "token_type": "bearer"
}

3. GitHub Appはユーザのアクセストークンで API にアクセスします

ユーザのアクセストークンを使用すると、GitHub App がユーザの代わりに API にリクエストを発行できます。

Authorization: token OAUTH-TOKEN
GET https://api.github.com/user

たとえば、curlでは以下のようにAuthorizationヘッダを設定できます。

curl -H "Authorization: token OAUTH-TOKEN" https://api.github.com/user

デバイスフロー

デバイスフローを使えば、CLIツールやGit認証情報マネージャーなどのヘッドレスアプリケーションのユーザを認可できます。

デバイスフローを使ったユーザの認可については、「OAuth App の認可」を参照してください。

ユーザがアクセスできるインストールされたリソースの確認

ユーザの OAuth トークンを取得したら、そのユーザがアクセスできるインストールされたアプリケーションを確認できます。

Authorization: token OAUTH-TOKEN
GET /user/installations

また、インストールされたアプリケーションでユーザがアクセスできるリポジトリも確認できます。

Authorization: token OAUTH-TOKEN
GET /user/installations/:installation_id/repositories

詳細については、ユーザアクセストークンがアクセスできるインストールされたアプリケーションの一覧表示およびユーザアクセストークンがアクセスできるリポジトリの一覧表示でご確認ください。

GitHub App の認可の取り消し処理

ユーザが GitHub App の認可を取り消した場合、アプリケーションはデフォルトで github_app_authorization webhook を受信します。 GitHub App は、このイベントをサブスクライブ解除できません。 誰でも、自分のGitHubアカウント設定ページからGitHub Appの認可を取り消すことができます。 GitHub Appの認可を取り消しても、そのGitHub Appはアンインストールされません。 GitHub Appは、このwebhookを受信したら、トークンを取り返した人の代わりにAPIを呼ぶことを止めるようにプログラムしなければなりません。 取り消されたアクセストークンを使い続けると、GitHub Appは401 Bad Credentialsエラーを受け取ることになります。

ユーザレベルの権限

ユーザ認可フローの一環として、個々のユーザに付与されたユーザのメールなどのユーザが所有するリソースにアクセスできる、ユーザレベルの権限を GitHub App に付与できます。 ユーザレベルの権限は、Organization またはユーザアカウントにインストールされる際に付与される、リポジトリおよび Organization レベルの権限とは異なります。

ユーザレベルの権限は、[Permissions & webhooks] ページの [User permissions] セクションにある GitHub App の設定で選択できます。 権限の選択に関する詳しい情報については、「GitHub Appの権限の編集」を参照してください。

ユーザが自分のアカウントにアプリケーションをインストールする時、インストールプロンプトは、アプリケーションがリクエストするユーザレベルの権限を一覧表示し、アプリケーションがこれらの権限を個々のユーザに求めることができるということを説明します。

ユーザレベルの権限は個々のユーザに付与されるため、ユーザにアップグレードを促すことなく、既存のアプリケーションに権限を追加できます。 ただし、新しい権限を認可し、ユーザからサーバーに対するトークンを取得するため、ユーザ認可フローを通じて既存のユーザを送信する必要があります。

ユーザからサーバーへのリクエスト

While most of your API インタラクションのほとんどは、サーバーからサーバーへのインストールアクセストークンを用いて行われますが、一部のエンドポイントでは、ユーザアクセストークンを使用し、API 経由でアクションを実行できます。 GraphQL v4 または REST v3 エンドポイントを使用して、アプリケーションは次のリクエストを行うことができます。

対応しているエンドポイント

Actions ランナー
Actionsのシークレット
成果物
チェックラン
チェックスイート
行動規範
デプロイメントステータス
デプロイメント
イベント
フィード
Git Blob
Gitのコミット
Git参照
Gitタグ
Gitツリー
gitignoreテンプレート
インストール
インタラクションの制限
Issueにアサインされた人
Issueコメント
Issueイベント
Issueのタイムライン
問題
ジョブ
ラベル
ライセンス
Markdown
メタ情報
マイルストーン
Organizationのフック
Organizationの招待
Organizationのメンバー
Organizationの外部コラボレータ
OrganizationのTeamのプロジェクト
OrganizationのTeamリポジトリ
Organization Team Sync
Organization Team
Organization
Organizationのクレデンシャルの認証
OrganizationのSCIM
ソースのインポート
プロジェクトのコラボレータ
プロジェクト
Pull Requestのコメント
Pull Requestのレビューイベント
Pull Requestのレビューのリクエスト
Pull Requestのレビュー
Pull Request
リアクション
リポジトリ
リポジトリのアクティビティ
リポジトリの自動化されたセキュリティ修正
リポジトリのブランチ
リポジトリのコラボレータ
リポジトリのコミットコメント
リポジトリのコミット
リポジトリのコミュニティ
リポジトリのコンテンツ
リポジトリのイベントのディスパッチ
リポジトリのフック
リポジトリの招待
リポジトリのキー
リポジトリのPages
リポジトリのリリース
リポジトリ統計
リポジトリ脆弱性アラート
ルート
検索
ステータス
Teamディスカッション
Topics
トラフィック
ユーザのブロック
ユーザのメール
ユーザのフォロワー
ユーザのGPGキー
ユーザの公開鍵
ユーザ
ワークフローラン
ワークフロー

参考リンク

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡