Сведения о GitHub Apps и OAuth apps
Как правило, GitHub Apps предпочтительнее OAuth apps. GitHub Apps используют подробные разрешения, дают пользователю больше контроля над тем, к каким репозиториям приложение может получить доступ и использовать короткие маркеры. Эти свойства могут затвердить безопасность приложения, ограничив ущерб, который можно было бы сделать, если учетные данные вашего приложения были просочились.
Как и OAuth apps, GitHub Apps по-прежнему может использовать OAuth 2.0 и создавать тип маркера OAuth (называемый маркером доступа пользователя) и выполнять действия от имени пользователя. Однако GitHub Apps также может действовать независимо от пользователя. Это полезно для автоматизации, для которых не требуются входные данные пользователя. Приложение будет продолжать работать, даже если пользователь, установивший приложение в организации, покидает организацию.
GitHub Apps имеют встроенные централизованные веб-перехватчики. GitHub Apps может получать события веб-перехватчика для всех репозиториев и организаций, к которые приложение может получить доступ. И наоборот, OAuth apps должен настраивать веб-перехватчики по отдельности для каждого репозитория и организации.
Ограничение скорости для GitHub Apps с помощью маркера доступа к установке масштабируется с числом репозиториев и числом пользователей организации. И наоборот, OAuth apps имеют более низкие ограничения скорости и не масштабировать.
Существует один случай, когда OAuth app предпочтителен для GitHub App. Если приложению требуется доступ к ресурсам корпоративного уровня, таким как сам корпоративный объект, следует использовать OAuth app, так как GitHub App еще не удается предоставить разрешения для предприятия. GitHub Apps по-прежнему может получить доступ к ресурсам организации и репозитория предприятия.
Дополнительные сведения о GitHub Appsсм. в разделе "Создание приложений GitHub".
Дополнительные сведения о переносе существующих данных OAuth app на GitHub Appсм. в разделе "Перенос приложений OAuth в приложения GitHub".
Кто можно установить GitHub Apps и авторизовать OAuth apps?
Вы можете установить приложения GitHub в личной учетной записи или в принадлежащих вам организациях. Если у вас есть права администратора в репозитории, вы можете устанавливать приложения GitHub в учетных записях организации. Если приложение GitHub установлено в репозитории и требует разрешений организации, владелец организации должен утвердить это приложение.
По умолчанию управлять настройками приложений GitHub в организации могут только владельцы организации. Чтобы разрешить дополнительным пользователям изменять параметры разработчика приложений GitHub, принадлежащих организации, владелец может предоставить им разрешения диспетчера приложений GitHub. Диспетчеры приложений GitHub не могут управлять сторонними приложениями. Дополнительные сведения о добавлении и удалении диспетчеров приложений GitHub в организации см. в разделе "Роли в организации".
Напротив, пользователи авторизуют OAuth apps, что дает приложению возможность выступать в качестве прошедшего проверку подлинности пользователя. Например, можно авторизовать OAuth app, который находит все уведомления для прошедшего проверку подлинности пользователя. Вы всегда можете отозвать разрешения от OAuth app.
Владельцы организации могут выбрать, разрешать ли внешний участник совместной работы запрашивать доступ к неутвержденным OAuth apps и GitHub Apps. Дополнительные сведения см. в разделе Ограничение запросов на доступ приложений OAuth и приложений GitHub.
Предупреждение. Отзыв всех разрешений от OAuth app удаляет все ключи SSH, созданные приложением от имени пользователя, включая ключи развертывания.
| Приложения GitHub | OAuth apps |
|---|---|
| Чтобы установить приложение GitHub в организации, вы должны быть владельцем организации или иметь разрешения администратора в репозитории. Если приложение GitHub установлено в репозитории и требует разрешений организации, владелец организации должен утвердить это приложение. | Вы можете авторизовать OAuth app для доступа к ресурсам. |
| Приложение GitHub можно установить в личном репозитории. | Вы можете авторизовать OAuth app для доступа к ресурсам. |
| Чтобы удалить приложение GitHub в организации и его права доступа, вы должны быть владельцем организации, владельцем личного репозитория или иметь разрешения администратора в репозитории. | Чтобы удалить права доступа, достаточно удалить маркер доступа OAuth. |
| Чтобы запросить установку приложения GitHub, вы должны быть владельцем организации или иметь разрешения администратора в репозитории. | Если политика приложения организации активна, любой член организации может запросить установку OAuth app в организации. Владелец организации должен утвердить или отклонить запрос. |
Что может получить доступ к приложениям GitHub и OAuth apps?
Владельцы учетных записей могут использовать GitHub App в одной учетной записи, не предоставляя доступа к другой учетной записи. Например, вы можете установить стороннюю службу компиляции в организации вашего работодателя, не предоставляя этой службе доступа к репозиториям в вашей личной учетной записи. Приложение GitHub остается установленным, когда настроивший его пользователь покидает организацию.
Авторизованный __ доступ к данным OAuth app имеет доступ ко всем доступным ресурсам пользователя или владелец организации.
| Приложения GitHub | OAuth apps |
|---|---|
| Установка приложения GitHub предоставляет приложению доступ к выбранным репозиториям учетной записи пользователя или организации. | Авторизация OAuth app предоставляет приложению доступ к доступным ресурсам пользователя. Например, к репозиториям, к которым у него есть доступ. |
| Маркер установки из приложения GitHub теряет доступ к ресурсам, когда администратор удаляет репозитории из установки. | Маркер доступа OAuth теряет доступ к ресурсам, когда пользователь теряет доступ, например при отмене доступа на запись в репозиторий. |
| Маркеры доступа установки ограничиваются указанными репозиториями с разрешениями, выбранными создателем приложения. | Маркер доступа OAuth ограничивается через области действия. |
| Приложения GitHub могут запрашивать доступ отдельно к проблемам и запросам на вытягивание, без доступа к фактическому содержимому репозитория. | OAuth apps необходимо запросить область, чтобы получить доступ к проблемам, запросам repo на вытягивание или всем, принадлежащим репозиторию. |
| Приложения GitHub не подчиняются политикам приложений организации. Приложение GitHub имеет доступ только к репозиториям, для которых владелец организации предоставил соответствующие разрешения. | Если политика приложения организации активна, то только владелец организации может авторизовать установку OAuth app. При установке OAuth app получает доступ к маркеру, который владелец организации имеет в утвержденной организации. |
| Приложение GitHub получает событие веб-перехватчика при изменении или удалении установки. Это позволяет создателю приложения узнать, что он получил или потерял доступ к определенным ресурсам организации. | OAuth apps может потерять доступ к организации или репозиторию в любое время на основе изменения доступа пользователя. OAuth app не сообщает вам, когда он теряет доступ к ресурсу. |
Идентификация на основе маркеров
Примечание. Приложения GitHub также могут использовать маркер на основе пользователя. Дополнительные сведения см. в разделе Проверка подлинности с помощью приложения GitHub от имени пользователя.
| Приложения GitHub | OAuth apps |
|---|---|
| Приложение GitHub может вне основного процесса запросить маркер доступа к установке с использованием закрытого ключа в формате веб-маркера JSON. | OAuth app может обмениваться маркером запроса для маркера доступа после перенаправления через веб-запрос. |
| Маркер установки идентифицирует приложение как бот приложений GitHub, например @jenkins-bot. | Маркер доступа идентифицирует приложение как пользователя, который предоставил этот маркер приложению, например @octocat. |
| Срок действия маркеров доступа к установке истекает после предопределенного времени (в настоящее время 1 час). | Маркеры OAuth остаются активными, пока они не будут отозваны клиентом. |
| GitHub Apps, установленных в организациях или репозиториях, подвергаются ограничениям частоты, масштабируемым с числом установок. Дополнительные сведения см. в разделе Ограничения скорости для приложений GitHub. | Маркеры OAuth используют ограничение скорости пользователя в 5000 запросов в час. |
| Разрешения на увеличение ограничений скорости можно предоставлять как на уровне приложений GitHub (это затронет все установки), так и на уровне отдельных установок. | Увеличение ограничения скорости предоставляется на OAuth app. Каждый маркер, предоставленный для этого OAuth app, получает увеличенное ограничение. |
| GitHub Apps может проходить проверку подлинности от имени пользователя. Поток авторизации совпадает с потоком авторизации OAuth app . Срок действия маркеров доступа пользователей может быть продлен с помощью маркера обновления. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Обновление маркеров доступа пользователей](/apps/creating-github-apps/authenticating-with-a-github-app/identifying-and-authorizing-users-for-github-apps)". | Поток OAuth, который используется в OAuth apps, авторизует OAuth app от имени пользователя. Это тот же поток, который используется для создания маркера доступа пользователя GitHub App. |
Запрос уровней разрешений для ресурсов
В отличие от OAuth apps, приложения GitHub имеют целевые разрешения, которые позволяют им запрашивать доступ только к нужным им ресурсам. Например, приложение GitHub для непрерывной интеграции (CI) может запрашивать доступ на чтение к содержимому репозитория и доступ на запись к API состояния. Другое приложение GitHub может управлять проблемами, метками и вехами, не имея доступа на чтение или запись к коду. OAuth apps не может использовать детализированные разрешения.
| Открыть | Приложения GitHub (разрешения read или write) | OAuth apps |
|---|---|---|
| Доступ к общедоступным репозиториям | Во время установки необходимо выбрать общедоступный репозиторий. | Область public_repo. |
| Доступ к коду или содержимому репозитория | Содержимое репозитория | Область repo. |
| Доступ к проблемам, меткам и вехам | Проблемы | Область repo. |
| Доступ к запросам на вытягивание, меткам и вехам | Запросы на включение внесенных изменений | Область repo. |
| Доступ к состояниям фиксации (для сборок CI) | Состояния фиксаций | Область repo:status. |
| Доступ к развертываниям и состояниям развертывания | Развертывания | Область repo_deployment. |
| Для получения событий через веб-перехватчик | Приложение GitHub по умолчанию включает веб-перехватчик. | Область write:repo_hook или write:org_hook. |
Обнаружение репозитория
| Приложения GitHub | OAuth apps |
|---|---|
Приложения GitHub могут получить из /installation/repositories список репозиториев, к которые установка имеет доступ. | OAuth apps может искать /user/repos представление пользователя или /orgs/:org/repos представление организации доступных репозиториев. |
| Приложения GitHub получают действия веб-перехватчиков при добавлении репозиториев в установку и при удалении их из нее. | OAuth apps создают веб-перехватчики организации для уведомлений при создании нового репозитория в организации. |
Веб-перехватчики
| Приложения GitHub | OAuth apps |
|---|---|
| По умолчанию приложения GitHub имеют один веб-перехватчик, который получает события, для которых она настроен, по каждому репозиторию, к которому он имеет доступ. | OAuth apps запрашивает веб-перехватчик область для создания веб-перехватчика репозитория для каждого репозитория, из который они должны получать события. |
| Приложения GitHub получают определенные события уровня организации с разрешения участника этой организации. | OAuth apps запрашивает веб-перехватчик организации область для создания веб-перехватчика организации для каждой организации, от которых они должны получать события уровня организации. |
| Веб-перехватчики автоматически отключаются при удалении приложения GitHub. | Веб-перехватчики не отключаются автоматически, если маркер доступа OAuth appмаркера доступа не удаляется, и их автоматическое удаление невозможно. Вам придется обратиться к пользователям с просьбой сделать это вручную. |
Доступ к Git
| Приложения GitHub | OAuth apps |
|---|---|
| Приложения GitHub запрашивают разрешение на содержимое репозитория и используют маркер доступа к установке для проверки подлинности через Git на основе HTTP. Дополнительные сведения см. в разделе "Создание маркера доступа к установке для приложения GitHub" | OAuth apps запрашивает write:public_key область и создает ключ развертывания через API. Затем этот ключ можно использовать для выполнения команд Git. |
| Этот маркер используется в качестве пароля HTTP. | Этот маркер используется в качестве имени пользователя HTTP. |
Учетные записи компьютеров и ботов
Учетные записи пользователей компьютера — это личные учетные записи на основе OAuth, которые используются для различения автоматизированных систем на основе системы пользователей GitHub.
Учетные записи ботов используются только в приложениях GitHub и встраиваются в каждое приложение GitHub.
| Приложения GitHub | OAuth apps |
|---|---|
| Боты приложений GitHub не используют рабочее место GitHub Enterprise. | Каждая учетная запись пользователя использует одно рабочее место GitHub Enterprise. |
| Так как боту приложения GitHub никогда не назначается пароль, клиент не может войти в него напрямую. | Учетной записи пользователя компьютера предоставляется имя пользователя и пароль, управление и защиту для которого клиент выполняет самостоятельно. |