GitHub App のユーザの特定と認可

GitHub Appは、Issueの作成、デプロイメントの作成、サポートされている他のエンドポイントの利用など、アクションをユーザの代わりに行うことができます。

ノート: ユーザトークンの期限設定は、現在オプションの機能であり、変更されることがあります。 ユーザからサーバーに対するトークンの期限設定にオプトインもしくはアウトするには、「アプリケーションのオプション機能を有効化する」を参照してください。 詳しい情報については「ユーザからサーバーへのアクセストークンの期限設定」を参照してください。

GitHub App がユーザの代わりに動作すると、ユーザからサーバーに対するリクエストを実行します。 こうしたリクエストは、ユーザのアクセストークンで承認される必要があります。 ユーザからサーバーに対するリクエストには、特定のユーザに対してどのリポジトリを表示するか決定するなど、ユーザに対するデータのリクエストが含まれます。 これらのリクエストには、ビルドの実行など、ユーザがトリガーしたアクションも含まれます。

ユーザからサーバーへのアクセストークンをさらにセキュアにするために、8時間後に期限切れとなるアクセストークンと、新しいアクセストークンと交換できるリフレッシュトークンを使用できます。 詳しい情報については「ユーザからサーバーへのアクセストークンのリフレッシュ」を参照してください。

サイト上のユーザを特定する

ブラウザで動作する標準的なアプリケーションでユーザを認可するには、Web アプリケーションフローを利用してください。

CLI ツールや Git 認証情報マネージャーなどの、ブラウザに直接アクセスしないヘッドレスアプリケーションでユーザを認可するには、デバイスフローを利用します。 デバイスフローは、OAuth 2.0 Device Authorization Grant を利用します。

Web アプリケーションフロー

Web アプリケーションフローを利用して、サイト上のユーザを特定するプロセスは以下の通りです。

  1. ユーザはGitHubのアイデンティティをリクエストするためにリダイレクトされます
  2. ユーザはGitHubによってサイトにリダイレクトして戻されます
  3. GitHub Appはユーザのアクセストークンで API にアクセスします

アプリケーションを作成または変更する際に [Request user authorization (OAuth) during installation] を選択した場合、アプリケーションのインストール中にステップ 1 が完了します。 詳しい情報については、「インストール中のユーザの認可」を参照してください。

1. ユーザのGitHubアイデンティティのリクエスト

Direct the user to the following URL in their browser:

GET http(s)://[hostname]/login/oauth/authorize

GitHub Appがloginパラメータを指定すると、ユーザに対して利用できる特定のアカウントでサインインしてアプリケーションを認可するよう求めます。

パラメータ

名前種類説明
client_idstring必須。GitHub App のクライアント IDです。 アプリケーションを選択したときに、GitHub App 設定に表示されます。 注釈: アプリケーション ID とクライアント ID は同一ではなく、お互いを置き換えることはできません。
redirect_uristring認可の後にユーザが送られるアプリケーション中のURL。 これは、GitHub App をセットアップする際にコールバック URL として指定された URL の 1つと一致させる必要があり、他の追加パラメータを含めることはできません。
statestringこれはフォージェリアタックを防ぐためにランダムな文字列を含める必要があり、あらゆる任意のデータを含めることができます。
loginstringサインインとアプリケーションの認可に使われるアカウントを指示します。
allow_signupstringOAuthフローの間に、認証されていないユーザに対してGitHubへのサインアップの選択肢が提示されるかどうか。 デフォルトは true です。 ポリシーでサインアップが禁止されている場合はfalseを使ってください。

注釈: 認可リクエストにスコープを指定する必要はありません。 従来の OAuth とは異なり、認証トークンはGitHub App に紐付けられた権限およびユーザの権限に限定されます。

2. ユーザはGitHubによってサイトにリダイレクトして戻されます

ユーザがリクエストを受け付けると、GitHub は一時的なコードを code パラメータに、そして前のステップで渡された状態を state パラメータに入れてリダイレクトさせ、サイトに戻します。 状態が一致しない場合、そのリクエストは第三者が作成したものであり、プロセスを中止する必要があります。

注釈: アプリケーションを作成または変更する際に [Request user authorization (OAuth) during installation] を選択した場合、GitHub はアクセストークンと交換する必要がある一時的な code を返します。 アプリケーションのインストール中に GitHub が OAuth フローを開始した場合、state パラメータは返されません。

この code をアクセストークンと交換します。 When expiring tokens are enabled, the access token expires in 8 hours and the refresh token expires in 6 months. トークンを更新するたびに、新しいリフレッシュトークンを取得します。 詳しい情報については、「ユーザからサーバーに対するアクセストークンをリフレッシュする」を参照してください。

ユーザトークンの期限設定は、現在のところオプション機能であり、変更される可能性があります。 ユーザからサーバーに対するトークンの期限設定にオプトインするには、「アプリケーションのオプション機能を有効化する」を参照してください。

Make a request to the following endpoint to receive an access token:

POST http(s)://[hostname]/login/oauth/access_token

パラメータ

名前種類説明
client_idstring必須。GitHub App のクライアント ID。
client_secretstring必須。GitHub App のクライアントシークレット。
コードstring必須。 ステップ1でレスポンスとして受け取ったコード。
redirect_uristring認可の後にユーザが送られるアプリケーション中のURL。 これは、GitHub App をセットアップする際にコールバック URL として指定された URL の 1つと一致させる必要があり、他の追加パラメータを含めることはできません。
statestringステップ1で提供した推測できないランダムな文字列。

レスポンス

デフォルトでは、レスポンスは以下の形式になります。 レスポンスパラメータの expires_inrefresh_tokenrefresh_token_expires_in は、ユーザからサーバに対するアクセストークンの期限設定を有効にしている場合にのみ返されます。

{
  "access_token": "ghu_16C7e42F292c6912E7710c838347Ae178B4a",
  "expires_in": 28800,
  "refresh_token": "ghr_1B4a2e77838347a7E420ce178F2E7c6912E169246c34E1ccbF66C46812d16D5B1A9Dc86A1498",
  "refresh_token_expires_in": 15811200,
  "scope": "",
  "token_type": "bearer"
}

3. GitHub Appはユーザのアクセストークンで API にアクセスします

ユーザのアクセストークンを使用すると、GitHub App がユーザの代わりに API にリクエストを発行できます。

Authorization: token OAUTH-TOKEN
GET http(s)://[hostname]/api/v3/user

たとえば、curlでは以下のようにAuthorizationヘッダを設定できます。

curl -H "Authorization: token OAUTH-TOKEN" http(s)://[hostname]/api/v3/user

デバイスフロー

注釈: デバイスフローは現在パブリックベータであり、変更されることがあります。

デバイスフローを使えば、CLIツールやGit認証情報マネージャーなどのヘッドレスアプリケーションのユーザを認可できます。

デバイスフローを使ったユーザの認可については、「OAuth App の認可」を参照してください。

ユーザがアクセスできるインストールされたリソースの確認

ユーザの OAuth トークンを取得したら、そのユーザがアクセスできるインストールされたアプリケーションを確認できます。

Authorization: token OAUTH-TOKEN
GET /user/installations

また、インストールされたアプリケーションでユーザがアクセスできるリポジトリも確認できます。

Authorization: token OAUTH-TOKEN
GET /user/installations/:installation_id/repositories

詳細については、ユーザアクセストークンがアクセスできるインストールされたアプリケーションの一覧表示およびユーザアクセストークンがアクセスできるリポジトリの一覧表示でご確認ください。

GitHub App の認可の取り消し処理

ユーザが GitHub App の認可を取り消した場合、アプリケーションはデフォルトで github_app_authorization webhook を受信します。 GitHub App は、このイベントをサブスクライブ解除できません。 誰でも、自分のGitHubアカウント設定ページからGitHub Appの認可を取り消すことができます。 GitHub Appの認可を取り消しても、そのGitHub Appはアンインストールされません。 GitHub Appは、このwebhookを受信したら、トークンを取り返した人の代わりにAPIを呼ぶことを止めるようにプログラムしなければなりません。 取り消されたアクセストークンを使い続けると、GitHub Appは401 Bad Credentialsエラーを受け取ることになります。

ユーザレベルの権限

ユーザ認可フローの一環として、個々のユーザに付与されたユーザのメールなどのユーザが所有するリソースにアクセスできる、ユーザレベルの権限を GitHub App に付与できます。 ユーザレベルの権限は、Organization またはユーザアカウントにインストールされる際に付与される、リポジトリおよび Organization レベルの権限とは異なります。

ユーザレベルの権限は、[Permissions & webhooks] ページの [User permissions] セクションにある GitHub App の設定で選択できます。 権限の選択に関する詳しい情報については、「GitHub Appの権限の編集」を参照してください。

ユーザが自分のアカウントにアプリケーションをインストールする時、インストールプロンプトは、アプリケーションがリクエストするユーザレベルの権限を一覧表示し、アプリケーションがこれらの権限を個々のユーザに求めることができるということを説明します。

ユーザレベルの権限は個々のユーザに付与されるため、ユーザにアップグレードを促すことなく、既存のアプリケーションに権限を追加できます。 ただし、新しい権限を認可し、ユーザからサーバーに対するトークンを取得するため、ユーザ認可フローを通じて既存のユーザを送信する必要があります。

ユーザからサーバーへのリクエスト

While most of your API インタラクションのほとんどは、サーバーからサーバーへのインストールアクセストークンを用いて行われますが、一部のエンドポイントでは、ユーザアクセストークンを使用し、API 経由でアクションを実行できます。 GraphQL v4 または REST v3 エンドポイントを使用して、アプリケーションは次のリクエストを行うことができます。

対応しているエンドポイント

チェックラン

チェックスイート

行動規範

デプロイメントステータス

デプロイメント

イベント

フィード

Git Blob

Gitのコミット

Git参照

Gitタグ

Gitツリー

gitignoreテンプレート

インストール

Issueにアサインされた人

Issueコメント

Issueイベント

Issueのタイムライン

問題

ラベル

ライセンス

Markdown

メタ情報

マイルストーン

Organizationのフック

Organizationのメンバー

Organizationの外部コラボレータ

Organization pre-receive フック

OrganizationのTeamのプロジェクト

OrganizationのTeamリポジトリ

Organization Team

Organization

プロジェクトのコラボレータ

プロジェクト

Pull Requestのコメント

Pull Requestのレビューイベント

Pull Requestのレビューのリクエスト

Pull Requestのレビュー

Pull Request

リアクション

リポジトリ

リポジトリのアクティビティ

リポジトリのブランチ

リポジトリのコラボレータ

リポジトリのコミットコメント

リポジトリのコミット

リポジトリのコミュニティ

リポジトリのコンテンツ

リポジトリのイベントのディスパッチ

リポジトリのフック

リポジトリの招待

リポジトリのキー

リポジトリのPages

リポジトリ pre-receive フック

リポジトリのリリース

リポジトリ統計

ルート

ステータス

Teamディスカッション

Topics

ユーザのメール

ユーザのフォロワー

ユーザのGPGキー

ユーザの公開鍵

ユーザ

参考リンク

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?