Wann Sie OAuth verwenden sollten
| Szenario | Authentifizierungsmethode |
|---|---|
| Interne Skripte, Automatisierung | API-Schlüssel |
| Externe App, die im Namen eines Benutzers handelt | OAuth — Autorisierungscode |
| Server-zu-Server, kein Benutzerkontext | OAuth — Client-Anmeldedaten |
| Twenty-App mit UI-Erweiterungen | Apps (OAuth wird automatisch gehandhabt) |
Einen Client registrieren
Twenty unterstützt die dynamische Client-Registrierung gemäß RFC 7591. Keine manuelle Einrichtung erforderlich — registrieren Sie den Client programmgesteuert:Geltungsbereiche
| Geltungsbereich | Zugriff |
|---|---|
api | Voller Lese-/Schreibzugriff auf die Core- und Metadata-APIs |
profile | Profilinformationen des authentifizierten Benutzers lesen |
scope=api profile
Autorisierungscode-Flow
Verwenden Sie diesen Flow, wenn Ihre App im Namen eines Twenty-Benutzers handelt.1. Leiten Sie den Benutzer zur Autorisierung weiter
| Parameter | Erforderlich | Beschreibung |
|---|---|---|
client_id | Ja | Ihre registrierte Client-ID |
response_type | Ja | Muss code sein |
redirect_uri | Ja | Muss einer registrierten Redirect-URI entsprechen |
scope | Nein | Durch Leerzeichen getrennte Geltungsbereiche (Standard: api) |
state | Empfohlen | Zufällige Zeichenfolge zur Verhinderung von CSRF-Angriffen |
code_challenge | Empfohlen | PKCE-Challenge (SHA-256-Hash des Verifiers, base64url-codiert) |
code_challenge_method | Empfohlen | Muss bei Verwendung von PKCE S256 sein |
2. Den Callback verarbeiten
Nach der Autorisierung leitet Twenty zurück zu Ihrerredirect_uri weiter:
state mit dem übereinstimmt, was Sie gesendet haben.
3. Tauschen Sie den Code gegen Token aus
4. Verwenden Sie das Zugriffstoken
5. Aktualisieren, wenn abgelaufen
Client-Anmeldedaten-Flow
Für Server-zu-Server-Integrationen ohne Benutzerinteraktion:Server-Ermittlung
Twenty veröffentlicht seine OAuth-Konfiguration an einem standardisierten Discovery-Endpunkt:Zusammenfassung der API-Endpunkte
| Endpunkt | Zweck |
|---|---|
/.well-known/oauth-authorization-server | Ermittlung von Servermetadaten |
/oauth/register | Dynamische Client-Registrierung |
/oauth/authorize | Benutzerautorisierung |
/oauth/token | Token-Austausch und -Aktualisierung |
| Umgebung | Basis-URL |
|---|---|
| Cloud | https://api.twenty.com |
| Selbsthosting | https://{your-domain} |
OAuth vs. API-Schlüssel
| API-Schlüssel | OAuth | |
|---|---|---|
| Einrichtung | In den Einstellungen generieren | Client registrieren, Flow implementieren |
| Benutzerkontext | Keiner (Arbeitsbereichsebene) | Berechtigungen eines bestimmten Benutzers |
| Am besten geeignet für | Skripte, interne Tools | Externe Apps, Multi-User-Integrationen |
| Token-Rotation | Manuell | Automatisch über Refresh-Tokens |
| Geltungsbereichsbasierter Zugriff | Voller API-Zugriff | Granular über Geltungsbereiche |