Плейбук интегратора
- Подготовка. Убедитесь, что
https://zippy-chat.ru/oauth/authorizeоткрывается (не 404 веб-сервера). Залитыindex.php,src/ZippyOAuthProvider.php, таблицы OAuth. - Вход в лабораторию. С общей cookie — обычный вход на https://zippy-chat.ru; без неё — OAuth callback .dev в
redirect_uris. - Своё приложение. Раздел Ключи → HTTPS redirect на ваш домен → сохраните secret.
- Поток. Пользователь → authorize → ваш callback с code → сервер обменивает на token →
/oauth/userinfo. - Безопасность. Secret только на сервере.
stateобязателен против CSRF.
Идеи для мини-апов
- Виджет «Кто я» для встроенного личного кабинета на поддомене.
- Бот или сервис, который ходит в API по токену пользователя.
- Внутренняя админка с тем же логином, что и у соцсети.
- Страница «мои приложения» с ротацией secret и списком redirect_uri.
- Демо-чат или опросник, где авторство привязано к
sub.
Чеклист перед релизом интеграции
| Пункт | Зачем |
|---|---|
| HTTPS везде | Исключает перехват code и токенов. |
| Точное совпадение redirect_uri | Иначе обмен code отклонится. |
| Secret не в фронте | Только сервер или защищённое хранилище. |
| Проверка state | CSRF на шаге callback. |
| Короткий TTL refresh (если есть) | Меньше окно компрометации. |