Сквозная аутентификация

Как это работает

Если у вас есть несколько связанных сервисов, на которых пользователь авторизуется под одним аккаунтом, вы можете использовать сквозную аутентификацию (Single Sign-On/SSO). В качестве сервиса выступает веб-сайт игры. Это позволит пользователю вводить данные аутентификации только один раз. При переходе на один из связанных сервисов пользователь уже будет авторизован.

Сценарий взаимодействия

1. Неавторизованный пользователь переходит на один из сервисов.
2. Ваш клиент отправляет запрос Check user authentication на сервер Xsolla Login и получает ошибку 401.
3. Ваш клиент отображает форму авторизации (виджет авторизации или ваш интерфейс) для пользователя.
4. Пользователь выполняет аутентификацию по имени пользователя и паролю или через социальную сеть.

5. Ваш клиент выполняет аутентификацию пользователя в вашем варианте авторизации:
   • При интеграции через методы API используются следующие запросы:
     • Аутентификация по имени пользователя и паролю (JWT и OAuth 2.0).
     • Аутентификация через социальные сети (JWT и OAuth 2.0).
   • При интеграции через виджет авторизации для запросов используется протокол OAuth 2.0.
   В ходе аутентификации сессия пользователя запоминается на сервере Xsolla Login. Сервер отправляет login_uri, содержащий redirect_uri вместе с code в query-параметре.

6. Ваш клиент перенаправляет пользователя на redirect_uri.
7. Ваш сервер отправляет запрос Generate JWT для обмена полученного code на JWT. Пользователь авторизован на сервисе.
8. Пользователь переходит на другой сервис.
9. Ваш клиент отправляет запрос Check user authentication на сервер Xsolla Login и получает login_uri, содержащий redirect_uri вместе c code в query-параметре.
10. Ваш сервер отправляет запрос Generate JWT для обмена полученного code на JWT. Пользователь авторизован на втором сервисе.

Разделение прав доступа для разных сервисов

Для кого подходит

Для партнеров, у которых уже подключен продукт Login и используется хранилище Xsolla, Firebase или PlayFab.

Как настроить

Чтобы подключить сквозную аутентификацию:

1. Подключите протокол OAuth 2.0.
2. Реализуйте вызов метода получения сессии пользователя.

Подключение протокола OAuth 2.0

Вызов метода получения сессии пользователя

Реализуйте вызов метода Check user authentication при переходе на ваш сервис. Запрос должен выполниться до отображения формы авторизации. Для аутентификации используйте параметры OAuth 2.0 клиента именно того сервиса, на котором пользователь хочет авторизоваться.

Пример запроса:

GET https://login.xsolla.com/api/oauth2/sso?client_id=<client_id>&redirect_uri=<redirect_uri>&scope=<scope>&state=<state>&response_type=code HTTP/1.1

curl --request GET \
  --url 'https://login.xsolla.com/api/oauth2/sso?redirect_uri=redirect_uri&response_type=code&state=state&scope=scope&client_id=client_id'

Пример ответа, когда пользователь авторизован:

HTTP/1.1 200 OK
Content-Type: application/json

{
  "login_url": "<redirect_uri>?code=<code>"
}

Чтобы получить JWT пользователя:

1. Ваш клиент реализует и использует метод, который перенаправляет пользователя на полученный redirect_uri.
2. Ваш сервер отправляет запрос Generate JWT с полученным code и grant_type=authorization_code для получения JWT.

Пример ответа, когда пользователь не авторизован:

HTTP/1.1 401 Unauthorized
Content-Type: application/json

{
  "error": {
    "code": "003-040",
    "description": "User is unauthorized."
  }
}