Плейбук интегратора

  1. Подготовка. Убедитесь, что https://zippy-chat.ru/oauth/authorize открывается (не 404 веб-сервера). Залиты index.php, src/ZippyOAuthProvider.php, таблицы OAuth.
  2. Вход в лабораторию. С общей cookie — обычный вход на https://zippy-chat.ru; без неё — OAuth callback .dev в redirect_uris.
  3. Своё приложение. Раздел Ключи → HTTPS redirect на ваш домен → сохраните secret.
  4. Поток. Пользователь → authorize → ваш callback с code → сервер обменивает на token → /oauth/userinfo.
  5. Безопасность. Secret только на сервере. state обязателен против CSRF.

Идеи для мини-апов

  • Виджет «Кто я» для встроенного личного кабинета на поддомене.
  • Бот или сервис, который ходит в API по токену пользователя.
  • Внутренняя админка с тем же логином, что и у соцсети.
  • Страница «мои приложения» с ротацией secret и списком redirect_uri.
  • Демо-чат или опросник, где авторство привязано к sub.

Чеклист перед релизом интеграции

ПунктЗачем
HTTPS вездеИсключает перехват code и токенов.
Точное совпадение redirect_uriИначе обмен code отклонится.
Secret не в фронтеТолько сервер или защищённое хранилище.
Проверка stateCSRF на шаге callback.
Короткий TTL refresh (если есть)Меньше окно компрометации.