متى تستخدم OAuth
تسجيل عميل
تدعم Twenty التسجيل الديناميكي للعملاء وفقًا لـRFC 7591. لا حاجة إلى إعداد يدوي — سجّل برمجيًا:النطاقات
| النطاق | الوصول |
|---|---|
api | إمكانية قراءة/كتابة كاملة لواجهات برمجة تطبيقات Core وMetadata |
profile | قراءة معلومات ملف تعريف المستخدم المُصادَق عليه |
scope=api profile
تدفق رمز التفويض
استخدم هذا التدفق عندما يعمل تطبيقك نيابةً عن مستخدم Twenty.1. أعد توجيه المستخدم للتفويض
| المعلمة | مطلوب | الوصف |
|---|---|---|
client_id | نعم | معرّف العميل المسجّل الخاص بك |
response_type | نعم | يجب أن يكون code |
redirect_uri | نعم | يجب أن يطابق عنوان URI لإعادة التوجيه المسجّل |
scope | لا | نطاقات مفصولة بمسافات (القيمة الافتراضية هي api) |
state | مُوصى به | سلسلة عشوائية لمنع هجمات CSRF |
code_challenge | مُوصى به | تحدّي PKCE (تجزئة SHA-256 لـ verifier، بترميز base64url) |
code_challenge_method | مُوصى به | يجب أن تكون S256 عند استخدام PKCE |
٢. معالجة الاستدعاء المرتجع
بعد التفويض، تعيد Twenty التوجيه إلىredirect_uri الخاص بك:
state تطابق ما أرسلته.
٣. استبدِل الرمز بالرموز
4. استخدم رمز الوصول
5. حدِّث عند انتهاء الصلاحية
تدفق بيانات اعتماد العميل
لعمليات التكامل من خادم إلى خادم دون تفاعل مستخدم:اكتشاف الخادم
تنشر Twenty إعدادات OAuth الخاصة بها عند نقطة اكتشاف قياسية:ملخص نقاط نهاية API
| نقطة النهاية | الغرض |
|---|---|
/.well-known/oauth-authorization-server | اكتشاف بيانات تعريف الخادم |
/oauth/register | التسجيل الديناميكي للعميل |
/oauth/authorize | تفويض المستخدم |
/oauth/token | مبادلة الرموز وتحديثها |
| البيئة | عنوان URL الأساسي |
|---|---|
| السحابة | https://api.twenty.com |
| الاستضافة الذاتية | https://{your-domain} |
OAuth مقابل مفاتيح API
| مفاتيح واجهة برمجة التطبيقات | OAuth | |
|---|---|---|
| الإعداد | إنشاء من الإعدادات | تسجيل عميل، وتنفيذ التدفق |
| سياق المستخدم | لا يوجد (على مستوى مساحة العمل) | أذونات مستخدم محدّد |
| الأفضل لـ | البرامج النصية، الأدوات الداخلية | تطبيقات خارجية، وتكاملات متعددة المستخدمين |
| تدوير الرموز | يدوي | تلقائي عبر رموز التحديث |
| وصول محدود بالنطاقات | وصول كامل إلى API | تفصيلي عبر النطاقات |