Saltar al contenido principal

Configura el inicio de sesión social con GitHub a través de GitHub App

Integra GitHub App para habilitar el inicio de sesión con GitHub, vinculación de cuentas y acceso seguro a las API de GitHub con permisos detallados y tokens de actualización.

tip:

Esta guía asume que tienes un entendimiento básico de los Conectores de Logto. Para aquellos que no están familiarizados, por favor consulta la guía de Conectores para comenzar.

GitHub App vs OAuth App

GitHub ofrece dos tipos de aplicaciones para autenticación y acceso a API: GitHub Apps y OAuth Apps. Aquí tienes una comparación para ayudarte a elegir:

CaracterísticaGitHub AppOAuth App
PermisosPermisos detallados: solicita acceso solo a recursos específicosAlcances amplios: a menudo otorga más acceso del necesario
Gestión de permisosConfigurado solo en el panel de GitHub; el campo Scope de Logto puede estar vacíoConfigurado mediante alcances en el conector de Logto
Tokens de actualizaciónSiempre emitidos durante el flujo OAuthNo soportado: los tokens nunca expiran a menos que se revoquen
Expiración de tokensLos tokens de acceso expiran después de 8 horas; los tokens de actualización son válidos por 6 mesesLos tokens de acceso nunca expiran
Control del usuarioLos usuarios pueden elegir a qué repositorios puede acceder la appAcceso a todos los repositorios a los que el usuario tiene acceso
Límites de tasaLímites de tasa más altos que escalan con las instalacionesLímites de tasa más bajos (5,000 solicitudes/hora por usuario)
InstalaciónInstalado en cuentas/organizaciones con acceso granular a repositoriosAutorizado por usuarios con acceso amplio
WebhooksSoporte centralizado de webhook integradoDebe configurarse por separado para cada repositorio
Actuar de forma independientePuede actuar en su propio nombre (servidor a servidor)Siempre actúa en nombre de un usuario

Cuándo usar GitHub App:

  • Necesitas control detallado sobre permisos y acceso a repositorios
  • Quieres tokens de actualización para acceso a API a largo plazo con mayor seguridad
  • Necesitas límites de tasa de API más altos
  • Quieres realizar tareas automatizadas independientes de las sesiones de usuario

Cuándo usar OAuth App:

  • Integración de inicio de sesión simple con acceso mínimo a la API
  • Necesitas tokens que no expiren (para integraciones heredadas)
  • Necesitas acceder a recursos a nivel empresarial (los GitHub Apps aún no soportan permisos a nivel empresarial)
tip:

GitHub recomienda GitHub Apps sobre OAuth Apps para la mayoría de los casos de uso debido a sus características de seguridad mejoradas y permisos detallados. Aprende más sobre las diferencias entre GitHub Apps y OAuth Apps.

Comienza

El conector de GitHub App permite la integración OAuth 2.0 para que tu aplicación pueda:

  • Añadir autenticación "Iniciar sesión con GitHub"
  • Vincular cuentas de usuario a identidades de GitHub
  • Sincronizar información de perfil de usuario desde GitHub
  • Acceder a las API de GitHub mediante almacenamiento seguro de tokens en Logto Secret Vault para tareas de automatización (por ejemplo, crear issues en GitHub, gestionar repositorios desde tu app)
  • Usar tokens de actualización (siempre emitidos por GitHub Apps) para mantener el acceso a la API a largo plazo sin requerir que los usuarios se vuelvan a autenticar

Para configurar estas funciones de autenticación, primero crea un conector de GitHub en Logto:

  1. Ve a Consola de Logto > Conector > Conector social.
  2. Haz clic en Agregar conector social, selecciona GitHub App, haz clic en Siguiente y sigue el tutorial paso a paso para completar la integración.

Paso 1: Crea una GitHub App

Antes de que puedas usar GitHub como proveedor de autenticación, debes crear una GitHub App en GitHub para obtener credenciales de OAuth 2.0.

  1. Ve a GitHub e inicia sesión con tu cuenta, o crea una nueva si es necesario.
  2. Navega a Settings > Developer settings > GitHub Apps.
  3. Haz clic en New GitHub App para registrar una nueva aplicación:
    • GitHub App name: Ingresa un nombre único para tu aplicación. El nombre no puede tener más de 34 caracteres y debe ser único en GitHub.
    • Homepage URL: Ingresa la URL de la página principal de tu aplicación.
    • Callback URL: Copia el Callback URI de tu conector de GitHub en Logto y pégalo aquí. Puedes añadir varias URLs de callback si es necesario. Después de que los usuarios inicien sesión con GitHub, serán redirigidos aquí con un código de autorización que Logto utiliza para completar la autenticación.
    • Expire user authorization tokens: Mantén esto marcado (recomendado). Esto habilita la expiración de tokens y tokens de actualización para mayor seguridad.
    • Request user authorization (OAuth) during installation: Opcionalmente marca esto para solicitar a los usuarios que autoricen tu aplicación durante la instalación.
    • Webhook: Desmarca Active si no necesitas eventos de webhook. Para casos de uso solo de autenticación, normalmente los webhooks no son necesarios.
  4. En Permissions, configura los permisos que necesita tu aplicación (consulta el Paso 2 a continuación para más detalles).
  5. En Where can this GitHub App be installed?, selecciona Any account si quieres que usuarios de cualquier cuenta de GitHub puedan usar tu aplicación para autenticación.
  6. Haz clic en Create GitHub App para crear la GitHub App.
nota:

A diferencia de las OAuth Apps, las GitHub Apps usan permisos granulares en lugar de alcances amplios. Configuras los permisos en el panel de GitHub durante la creación de la aplicación, y los usuarios otorgan acceso a repositorios específicos durante la autorización.

Para más detalles sobre cómo configurar GitHub Apps, consulta Registering a GitHub App.

Paso 2: Configura los permisos en GitHub

Las GitHub Apps usan permisos granulares en lugar de alcances de OAuth. Debes configurar los permisos en el panel de GitHub al crear o editar tu GitHub App. Estos permisos determinan a qué datos puede acceder tu aplicación.

Comprendiendo los permisos de GitHub App

Los permisos se dividen en tres tipos:

  • Permisos de repositorio: Acceso a recursos a nivel de repositorio (código, issues, pull requests, etc.)
  • Permisos de organización: Acceso a recursos a nivel de organización (miembros, equipos, proyectos, etc.)
  • Permisos de cuenta: Acceso a datos de la cuenta de usuario (correo electrónico, perfil, seguidores, etc.)

Para cada permiso, puedes seleccionar:

  • No access: La aplicación no puede acceder a este recurso
  • Read-only: La aplicación puede leer pero no modificar este recurso
  • Read & write: La aplicación puede leer y modificar este recurso

Para la funcionalidad básica de "Iniciar sesión con GitHub", configura estos permisos mínimos de cuenta:

PermisoNivel de accesoPropósito
Email addressesRead-onlyObtener el correo electrónico del usuario para crear la cuenta
tip:

Las GitHub Apps tienen acceso implícito para leer la información pública del perfil cuando actúan en nombre de un usuario. No necesitas solicitar explícitamente permiso para datos básicos del perfil como nombre de usuario, avatar y URL del perfil público.

Permisos adicionales para acceso a la API

Si tu aplicación necesita acceder a las APIs de GitHub más allá de la autenticación, añade los permisos correspondientes en el panel de GitHub. Aquí algunos ejemplos comunes:

Tipo de permisoPermisoNivel de accesoCaso de uso
RepositoryContentsRead-only / Read & writeAcceder a archivos y código del repositorio
RepositoryIssuesRead & writeCrear y gestionar issues
RepositoryPull requestsRead & writeCrear y gestionar pull requests
RepositoryMetadataRead-onlyAcceder a metadatos del repositorio (requerido para muchas operaciones)
OrganizationMembersRead-onlyListar miembros de la organización
AccountFollowersRead-onlyAcceder a los seguidores y seguidos del usuario

Esta no es una lista exhaustiva — las GitHub Apps admiten muchos más permisos granulares. Consulta Permissions required for GitHub Apps para la lista completa.

Diferencia clave respecto a las OAuth Apps:

A diferencia de las OAuth Apps donde configuras los alcances en el conector de Logto, los permisos de las GitHub Apps se gestionan completamente en el panel de GitHub. Puedes dejar el campo Scope vacío en tu conector de GitHub en Logto — no es necesario porque las GitHub Apps no usan los alcances tradicionales de OAuth.

Simplemente configura los permisos que necesitas en GitHub, y los usuarios serán solicitados para otorgar acceso durante la autorización.

Paso 3: Configura tu conector de Logto

Después de crear la GitHub App, serás redirigido a la página de configuración donde podrás obtener las credenciales.

  1. En la página de configuración de tu GitHub App, copia el Client ID y pégalo en el campo clientId en Logto.
  2. En Client secrets, haz clic en Generate a new client secret. Copia el secreto generado y pégalo en el campo clientSecret en Logto.
  3. Haz clic en Save and Done en Logto para conectar tu sistema de identidad con GitHub.
aviso:

Mantén tu Client secret seguro y nunca lo expongas en código del lado del cliente. Los client secrets de GitHub no se pueden recuperar si se pierden; tendrás que generar uno nuevo.

nota:

El Client ID de una GitHub App es diferente del App ID. Asegúrate de usar el Client ID (mostrado como "Client ID" en la página de configuración), no el App ID.

Paso 4: Configuración general

Aquí tienes algunas configuraciones generales que no bloquearán la conexión con GitHub pero pueden afectar la experiencia de autenticación del usuario final.

Sincronizar información del perfil

En el conector de GitHub, puedes configurar cómo se sincroniza la información del perfil desde la información del usuario de GitHub al perfil de usuario de Logto, incluyendo name, avatar y email. Elige entre las siguientes opciones:

  • Solo sincronizar al registrarse: La información del perfil se obtiene una vez cuando el usuario inicia sesión por primera vez.
  • Siempre sincronizar al iniciar sesión: La información del perfil se actualiza cada vez que el usuario inicia sesión.

Almacenar tokens para acceder a las APIs de GitHub (Opcional)

Si deseas acceder a las APIs de GitHub y realizar acciones con la autorización del usuario (ya sea mediante inicio de sesión social o vinculación de cuentas), habilita el almacenamiento de tokens en Logto:

  1. Configura los permisos requeridos en la configuración de tu GitHub App (Paso 2).
  2. Habilita Store tokens for persistent API access en el conector de GitHub en Logto. Logto almacenará de forma segura tanto el token de acceso como el token de actualización en el Secret Vault.
nota:

Dado que las GitHub Apps siempre emiten tokens de actualización, Logto almacena ambos tokens automáticamente. El token de acceso expira después de 8 horas, pero Logto puede usar el token de actualización para obtener nuevos tokens de acceso, asegurando acceso ininterrumpido a la API por hasta 6 meses.

Paso 5: Prueba tu integración (Opcional)

Antes de salir a producción, prueba la integración de tu GitHub App:

  1. Usa el conector en un tenant de desarrollo de Logto.
  2. Verifica que los usuarios puedan iniciar sesión con GitHub.
  3. Comprueba que a los usuarios se les soliciten los permisos correctos durante la autorización.
  4. Si habilitaste el almacenamiento de tokens, verifica que los tokens de acceso (y tokens de actualización) se almacenen correctamente.
  5. Prueba llamadas a la API usando los tokens almacenados para asegurar que los permisos funcionen como se espera.

Las GitHub Apps funcionan con cualquier cuenta de usuario de GitHub de inmediato; no es necesario crear usuarios de prueba ni aprobar la aplicación como en otras plataformas. Sin embargo, si tu aplicación se instala en una organización, los propietarios de la organización pueden necesitar aprobar la instalación.

Utiliza el conector de GitHub

Una vez que hayas creado un conector de GitHub y lo hayas conectado a GitHub, puedes incorporarlo en tus flujos de usuario final. Elige las opciones que se adapten a tus necesidades:

Habilita "Iniciar sesión con GitHub"

  1. En la Consola de Logto, ve a Experiencia de inicio de sesión > Registro e inicio de sesión.
  2. Agrega el conector de GitHub en la sección Inicio de sesión social para permitir que los usuarios se autentiquen con GitHub.

Aprende más sobre la experiencia de inicio de sesión social.

Utiliza la Account API para construir un Centro de Cuenta personalizado en tu aplicación que permita a los usuarios autenticados vincular o desvincular su cuenta de GitHub. Sigue el tutorial de Account API

tip:

Se permite habilitar el conector de GitHub solo para vinculación de cuentas y acceso a API, sin habilitarlo para inicio de sesión social.

Accede a las API de GitHub y realiza acciones

Tu aplicación puede recuperar los tokens de GitHub almacenados desde el Secret Vault para llamar a las API de GitHub y automatizar tareas de backend (por ejemplo, crear issues, gestionar repositorios o automatizar flujos de trabajo). Consulta la guía sobre cómo recuperar tokens almacenados para acceso a API.

Dado que los GitHub Apps siempre emiten tokens de actualización durante el flujo OAuth, Logto almacena tanto tokens de acceso como tokens de actualización. Los tokens de acceso expiran después de 8 horas, pero Logto utiliza automáticamente el token de actualización (válido por 6 meses) para obtener nuevos tokens de acceso, asegurando acceso ininterrumpido a la API.

Gestiona la identidad de GitHub del usuario

Después de que un usuario vincule su cuenta de GitHub, los administradores pueden gestionar esa conexión en la Consola de Logto:

  1. Navega a Consola de Logto > Gestión de usuarios y abre el perfil del usuario.
  2. En Conexiones sociales, localiza el elemento de GitHub y haz clic en Gestionar.
  3. En esta página, los administradores pueden gestionar la conexión de GitHub del usuario, ver toda la información de perfil otorgada y sincronizada desde su cuenta de GitHub, y comprobar el estado del token de acceso y del token de actualización.
nota:

A diferencia de las OAuth Apps que usan alcances, los GitHub Apps utilizan permisos detallados que se configuran en el panel de GitHub. El token de acceso del usuario está limitado a los permisos que tanto tu aplicación como el usuario tienen. Logto no puede mostrar directamente la lista de permisos, pero tu aplicación tendrá acceso según los permisos configurados en la configuración de tu GitHub App.

Referencia

Documentación para desarrolladores de GitHub - Acerca de GitHub Apps

Documentación para desarrolladores de GitHub - Registro de una GitHub App

Documentación para desarrolladores de GitHub - Generación de tokens de acceso de usuario

Documentación para desarrolladores de GitHub - Actualización de tokens de acceso de usuario

GitHub Apps vs OAuth Apps