摘要：之前在使用搭建博客平臺的時候，研究過一番如何取得授權(quán)并調(diào)用的辦法。后來經(jīng)過研究，總算找到了這種更為優(yōu)雅的辦法。網(wǎng)站通過上的授權(quán)碼往取回。要完成上述的流程，首先必須先注冊一個。此時通過授權(quán)的倉庫都可以被用戶通過進(jìn)行讀寫操作了。

之前在使用 Github issues 搭建博客平臺的時候，研究過一番如何取得 Github 授權(quán)并調(diào)用 API 的辦法。后來選擇了較簡單的賬號密碼和 Token 的方法。但是有讀者反饋這樣的操作依然稍顯麻煩，且在第三方的頁面輸入賬號密碼總感覺不安全。后來經(jīng)過研究，總算找到了 Github App 這種更為優(yōu)雅的辦法。

要回答這個問題，可以直接套用官方文檔的說法：

GitHub Apps are first-class actors within GitHub. A GitHub App acts on its own behalf, taking actions via the API directly using its own identity, which means you don"t need to maintain a bot or service account as a separate user.

簡單翻譯一下，就是 Github App 可以通過 Github 提供的認(rèn)證信息去調(diào)用 Github API。

細(xì)心的讀者會發(fā)現(xiàn)，Github 還提供了一個叫做“OAuth App”的東西，它的使用方式和 Github App 非常類似，最大的不同點是 OAuth App 所獲取的權(quán)限都是固定且只讀的，用戶只能讀取固定的數(shù)據(jù)而不能修改數(shù)據(jù)；而 Github App 幾乎可以獲取Github提供的所有功能權(quán)限，且所獲取的權(quán)限可以被設(shè)定為“只讀”，“可讀可寫”和“禁止訪問”，對于權(quán)限的授權(quán)粒度會更細(xì)。

獲取了對某些操作的權(quán)限之后，我們就可以使用這些權(quán)限去搭建一個獨立的 App，比如一個第三方的 Github 客戶端等等，這也是 Github App 的實用之處。

前文提到，Github App 可以免去用戶在第三方頁面輸入賬號密碼或者 Token 的操作而完成授權(quán)，那么它是怎么做到的呢？其實說白了，它也是一種 OAuth 登錄的方式，只不過把獲取 Token 的方式從“用戶輸入”變成“由 Github 提供”。

下面介紹這種登錄方式的流程：

A 網(wǎng)站跳轉(zhuǎn)到 Github 的授權(quán)頁面。

Github 授權(quán)頁面詢問用戶：“是否允許A網(wǎng)站獲取下列權(quán)限”，用戶點擊“允許”，取得授權(quán)碼。

Github 授權(quán)頁面重定向回 A 網(wǎng)站，同時在URL 上帶上授權(quán)碼。

A 網(wǎng)站通過 URL 上的授權(quán)碼往 Github 取回 Token。

A 網(wǎng)站使用這個 Token 去調(diào)用 Github API。

要完成上述的流程，首先必須先注冊一個 Github App。

進(jìn)入 Github主頁，點擊用戶頭像，找到 Setting/Developer settings/Github Apps，然后點擊“New Github App”，即可進(jìn)入編輯界面：

依次填入名稱（此處為 SOMEONE:BLOG ）、描述、主頁 URL 以后，關(guān)鍵要在User authorization callback URL填入獲取授權(quán)后的回調(diào)地址，然后在Permissions里面設(shè)置一些需要用到的 API 讀寫能力。如果你希望這個 APP 只能自己用，那么使用默認(rèn)的Only on this account，否則就選擇Any account，最后點擊Create Github App即可。

操作成功后，就可以看到這個 APP 的信息了：

其中的 Client ID 和 Client secret 就是這個應(yīng)用的身份識別碼，需要記下來。

Github App 注冊完畢，接下來就需要第三方網(wǎng)站使用這個 APP 的 Client ID 去找 Github 要授權(quán)碼了。

第三方網(wǎng)站要獲取授權(quán)碼，只需要讓頁面跳轉(zhuǎn)到 Github 授權(quán)頁即可，其中需要在 URL 中攜帶兩個參數(shù)，分別是 Client ID 和 Redirect URL。

const CLIENT_ID = "app 的 client id"
const REDIRECT_URL = "app 的 redirect_url"

location.href = `https://github.com/login/oauth/authorize?` + 
`client_id=${CLIENT_ID}&redirect_uri=${REDIRECT_URL}`

跳轉(zhuǎn)后，Github 會詢問用戶是否允許這個 APP 獲取某些權(quán)限：

用戶確定后，會帶著授權(quán)碼重定向到給定的回調(diào)地址:

這時候，第三方頁面（這里是 localhost:8080）已經(jīng)拿到了授權(quán)碼，接下來就需要憑借這個授權(quán)碼以及 APP 的 Client ID 和 Client secret 去兌換 Token 了。

兌換 Token 的代碼如下：

router.post("/oauth", async function (ctx, next) {
  const { clientID = CLIENT_ID, clientSecret = CLIENT_SECRET, code } = ctx.request.body
  const { status, data } = await axios({
    method: "post",
    url: "http://github.com/login/oauth/access_token?" +
    `client_id=${clientID}&` +
    `client_secret=${clientSecret}&` +
    `code=${code}`,
    headers: {
      accept: "application/json"
    }
  }).catch(e => e.response)
  ctx.body = { status, data }
})

由于跨域限制，所以這部分的代碼必須通過服務(wù)端實現(xiàn)，換句話說，A 網(wǎng)站拿到授權(quán)碼以后，需要發(fā)往這個服務(wù)端，由服務(wù)端獲取 Token 后再重新返回給 A 網(wǎng)站。

A 網(wǎng)站拿到服務(wù)端返回的 Token 以后，就可以通過設(shè)置 Header 的方式在調(diào)用 Github API 的時候使用了：

"Authorization": `Bearer ${Token}`

到目前為止，基本已經(jīng) OK 了，但還有一個很大的問題，就是目前的 Token 所拿到的數(shù)據(jù)都是“只讀”的，并不能對某個 Github 倉庫進(jìn)行任何提交或修改的操作——這是因為此 Github APP 還未被倉庫所安裝，這也是和 OAuth APP 最大的不同。

以我的博客平臺 jrainlau.github.io 為例，如果希望用戶能夠通過 API 對某條 issue 發(fā)起評論等操做，我需要在這個倉庫里安裝我的 Github APP：

進(jìn)入 Github APP 編輯頁 Setting/Developer settings/Github Apps/SOMEONE:BLOG，找到左側(cè)的 Install App，然后選擇你的賬戶去安裝：

你可以選擇賬戶下的所有倉庫或者僅某個倉庫去使用這個 APP。點擊授權(quán)以后，Github APP 安裝完畢。此時通過授權(quán)的倉庫都可以被用戶通過 API 進(jìn)行讀寫操作了。

在博客平臺里，通過這個 APP 評論的用戶，其外觀上的體現(xiàn)也會標(biāo)注來自 Github APP：

GitHub OAuth 第三方登錄示例教程 ——阮一峰