认证

注意
本页假定您已经有一个身份提供商（IdP），例如 Google、Entra ID（以前称为 Azure AD）或 Okta，它处理身份验证过程并返回访问令牌。

了解如何让用户通过 Web 浏览器使用 OAuth 2.0 从您的扩展进行身份验证，并返回到您的扩展。

在 OAuth 2.0 中，术语“授权类型”是指应用程序获取访问令牌的方式。尽管 OAuth 2.0 定义了多种授权类型，但本页仅介绍如何使用授权代码授权类型从您的扩展授权用户。

授权码授予流程

机密客户端和公共客户端使用 Authorization Code 授权类型将授权代码交换为访问令牌。

用户通过重定向 URL 返回客户端后，应用程序将从 URL 获取授权码，并使用它请求访问令牌。

上图显示：

Docker 扩展要求用户授权访问其数据。
如果用户授予访问权限，则扩展会向服务提供商请求访问令牌，并传递来自用户的访问权限授予和身份验证详细信息以识别客户端。
然后，服务提供商会验证这些详细信息并返回访问令牌。
该扩展使用访问令牌向服务提供商请求用户数据。

OAuth 2.0 术语

身份验证 URL：API 提供者授权服务器的端点，用于检索身份验证代码。
重定向 URI：身份验证后要重定向到的客户端应用程序回调 URL。这必须向 API 提供者注册。

用户输入用户名和密码后，即成功通过身份验证。

打开浏览器页面以对用户进行身份验证

在扩展 UI 中，您可以提供一个按钮，选中该按钮后，将在浏览器中打开一个新窗口以对用户进行身份验证。

使用 ddClient.host.openExternal API 打开浏览器以访问身份验证 URL。为例：

window.ddClient.openExternal("https://authorization-server.com/authorize?
  response_type=code
  &client_id=T70hJ3ls5VTYG8ylX3CZsfIu
  &redirect_uri=${REDIRECT_URI});

获取授权码和访问令牌

您可以从扩展 UI 中获取授权代码，方法是在您使用的 OAuth 应用程序中列为授权代码，并将授权代码连接为查询参数。然后，扩展 UI 代码将能够读取相应的代码 query-param。docker-desktop://dashboard/extension-tab?extensionId=awesome/my-extensionredirect_uri

重要
使用此功能需要在 Docker Desktop 中使用扩展 SDK 0.3.3。您需要确保带有 in image 标签的扩展集所需的 SDK 版本高于 0.3.3。com.docker.desktop.extension.api.version

授权

此步骤是用户在浏览器中输入其凭证的地方。授权完成后，用户将被重定向回您的扩展用户界面，并且扩展 UI 代码可以使用作为 URL 中查询参数一部分的授权代码。

交换授权码

接下来，您将授权码交换为访问令牌。

该扩展必须使用以下参数向 0Auth 授权服务器发送请求：POST

POST https://authorization-server.com/token
&client_id=T70hJ3ls5VTYG8ylX3CZsfIu
&client_secret=YABbyHQShPeO1T3NDQZP8q5m3Jpb_UPNmIzqhLDCScSnRyVG
&redirect_uri=${REDIRECT_URI}
&code=N949tDLuf9ai_DaOKyuFBXStCNMQzuQbtC1QbvLv-AXqPJ_f

注意
在此示例中，客户端的凭证包含在查询参数中。OAuth 授权服务器可能要求将凭据作为 HTTP 基本身份验证标头发送，或者可能支持不同的格式。有关详细信息，请参阅您的 OAuth 提供程序文档。POST

存储访问令牌

Docker Extensions SDK 不提供存储密钥的特定机制。

强烈建议您使用外部存储源来存储访问令牌。

注意
用户界面本地存储在扩展之间是隔离的（一个扩展无法访问另一个扩展的本地存储），当用户卸载扩展时，每个扩展的本地存储都会被删除。

下一步

了解如何发布和分发扩展