何时使用 OAuth
注册客户端
根据 RFC 7591,Twenty 支持动态客户端注册。 无需手动设置——以编程方式注册:范围
| 范围 | 访问 |
|---|---|
api | 对 Core 和 Metadata API 的完全读/写访问 |
个人资料 | 读取已认证用户的个人资料信息 |
scope=api profile
授权码流程
当你的应用代表某个 Twenty 用户执行操作时,请使用此流程。1. 重定向用户以进行授权
| 参数 | 必填 | 描述 |
|---|---|---|
client_id | 是 | 你已注册的客户端 ID |
response_type | 是 | 必须为 code |
redirect_uri | 是 | 必须与已注册的重定向 URI 匹配 |
scope | 否 | 以空格分隔的范围(默认为 api) |
状态 | 推荐 | 用于防止 CSRF 攻击的随机字符串 |
code_challenge | 推荐 | PKCE 质询(验证器的 SHA-256 哈希,base64url 编码) |
code_challenge_method | 推荐 | 使用 PKCE 时必须为 S256 |
2. 处理回调
授权后,Twenty 会重定向回你的redirect_uri:
state 与你发送的值一致。
3. 将授权码交换为令牌
4. 使用访问令牌
5. 过期时刷新
客户端凭证流程
适用于无用户交互的服务器到服务器集成:服务器发现
Twenty 在标准发现端点发布其 OAuth 配置:API 端点概览
| 端点 | 目的 |
|---|---|
/.well-known/oauth-authorization-server | 服务器元数据发现 |
/oauth/register | 动态客户端注册 |
/oauth/authorize | 用户授权 |
/oauth/token | 令牌交换与刷新 |
| 环境 | 基础 URL |
|---|---|
| 云端 | https://api.twenty.com |
| 自托管 | https://{your-domain} |
OAuth 与 API 密钥对比
| API 密钥 | OAuth | |
|---|---|---|
| 设置 | 在设置中生成 | 注册客户端并实现流程 |
| 用户上下文 | 无(工作区级) | 特定用户的权限 |
| 最适合 | 脚本、内部工具 | 外部应用、多用户集成 |
| 令牌轮换 | 手动 | 通过刷新令牌自动完成 |
| 范围限定的访问 | 完整的 API 访问 | 通过范围实现细粒度控制 |