GitHub Apps e OAuth apps
Em geral, os GitHub Apps são mais indicados que os OAuth apps. Os GitHub Apps usam permissões refinadas, dão ao usuário mais controle sobre quais repositórios o aplicativo pode acessar e usam tokens de curta duração. Essas propriedades podem aprimorar a segurança do aplicativo, limitando o dano possível decorrente do vazamento das credenciais dele.
Assim como os OAuth apps, os GitHub Apps ainda podem usar o OAuth 2.0 e gerar um tipo de token OAuth (chamado de token de acesso do usuário) para realizar ações em nome de um usuário. No entanto, os GitHub Apps também podem agir independentemente de um usuário. Isso é benéfico para automações que não exigem entrada do usuário. O aplicativo continuará funcionando mesmo se a pessoa que o instalou em uma organização deixar essa organização.
Os GitHub Apps têm webhooks integrados e centralizados. Os GitHub Apps podem receber eventos de webhook relativos a todos os repositórios e organizações que o aplicativo pode acessar. Por outro lado, OAuth apps precisam configurar webhooks individualmente para cada repositório e organização.
O limite de taxa dos GitHub Apps que usam um token de acesso de instalação é escalado com o número de repositórios e o número de usuários da organização. Por outro lado, os OAuth apps têm limites de taxa mais baixos e não são escaláveis.
Há um caso em que um OAuth app é preferível em vez de um GitHub App. Se o aplicativo precisar acessar recursos corporativos, como o próprio objeto corporativo, use um OAuth app porque o GitHub App ainda não pode receber permissões para uma empresa. Os GitHub Apps ainda podem acessar recursos de organizações e repositórios de propriedade da empresa.
Para saber mais sobre GitHub Apps, confira Sobre a criação de aplicativos GitHub.
Para saber mais sobre a migração de um OAuth app existente para um GitHub App, confira Migrando aplicativos OAuth para aplicativos GitHub.
Quem pode instalar aplicativos GitHub e autorizar OAuth apps?
Você pode instalar Aplicativos GitHub em sua conta pessoal ou nas organizações que você possui. Se você tiver permissões de administrador em um repositório, poderá instalar GitHub Aplicativos em contas da organização. Se um aplicativo GitHub estiver instalado em um repositório e exigir permissões da organização, o proprietário da organização deverá aprovar o aplicativo.
Por padrão, somente proprietários da organização podem gerenciar as configurações dos aplicativos GitHub em uma organização. Para permitir que usuários adicionais alterem as configurações de desenvolvedor dos aplicativos GitHub pertencentes à organização, um proprietário pode conceder a eles permissões de gerente do aplicativo GitHub. Os gerentes de aplicativos GitHub não podem gerenciar aplicativos de terceiros. Para saber como adicionar e remover gerentes de aplicativos GitHub em sua organização, confira Funções em uma organização.
Por outro lado, os usuários autorizam OAuth apps, fornecendo ao aplicativo a capacidade de agir como o usuário autenticado. Por exemplo, você pode autorizar um OAuth app que encontra todas as notificações do usuário autenticado. Você pode revogar as permissões de um OAuth app a qualquer momento.
Os proprietários da organização podem escolher se querem permitir que colaboradores externos solicitem acesso a OAuth apps e GitHub Apps. Para saber mais, confira Limitando as solicitações de acesso e instalações de aplicativos OAuth e GitHub App.
Aviso
A revogação de todas as permissões de um OAuth app exclui todas as chaves SSH que o aplicativo gerou em nome do usuário, incluindo as chaves de implantação.
| Aplicativos GitHub | OAuth apps |
|---|---|
| Você deve ser um proprietário da organização ou ter permissões de administrador em um repositório para instalar um aplicativo GitHub em uma organização. Se um aplicativo GitHub estiver instalado em um repositório e exigir permissões da organização, o proprietário da organização deverá aprovar o aplicativo. | Você pode autorizar um(a) OAuth app a acessar os recursos. |
| Você pode instalar um aplicativo GitHub em seu repositório pessoal. | Você pode autorizar um(a) OAuth app a acessar os recursos. |
| Você deve ser um proprietário da organização, proprietário do repositório pessoal ou ter permissões de administrador em um repositório para desinstalar um aplicativo GitHub e remover seu acesso. | Você pode excluir um token de acesso do OAuth para remover o acesso. |
| Você deve ser um proprietário da organização ou ter permissões de administrador em um repositório para solicitar uma instalação do aplicativo GitHub. | Se uma política de aplicativos da organização estiver ativa, qualquer membro da organização poderá solicitar a instalação de um OAuth app na organização. Um proprietário da organização deve aprovar ou negar a solicitação. |
O que os Aplicativos GitHub e os OAuth apps podem acessar?
Os proprietários de contas podem usar um GitHub App em uma conta sem conceder acesso a outra. Por exemplo, você pode instalar um serviço de build de terceiros na organização do seu empregador, mas decidir não conceder acesso desse serviço de build aos repositórios na sua conta pessoal. Um aplicativo GitHub permanecerá instalado se a pessoa que o configurou sair da organização.
Um OAuth app autorizado tem acesso a todos os recursos acessíveis do usuário ou do proprietário da organização.
| Aplicativos GitHub | OAuth apps |
|---|---|
| A instalação de um aplicativo GitHub concede ao aplicativo acesso aos repositórios escolhidos por uma conta de usuário ou organização. | A autorização de um OAuth app permite que o aplicativo acesse os recursos acessíveis ao usuário. Por exemplo, os repositórios que ele pode acessar. |
| O token de instalação de um aplicativo GitHub perderá o acesso aos recursos se um administrador remover repositórios da instalação. | Um token de acesso do OAuth perde acesso aos recursos quando o usuário perde acesso, como quando perdem acesso de gravação em um repositório. |
| Os tokens de acesso de instalação são limitados aos repositórios especificados com as permissões escolhidas pelo criador do aplicativo. | Um token de acesso OAuth é limitado por meio de escopos. |
| Os aplicativos GitHub podem solicitar acesso separado para problemas e pull requests sem acessar o conteúdo real do repositório. | Os OAuth apps precisam solicitar o escopo repo para obter acesso a problemas, solicitações de pull ou outros itens pertencente ao repositório. |
| Aplicativos do GitHub não estão sujeitos a políticas de aplicativos da organização. Um aplicativo GitHub só tem acesso aos repositórios concedidos por um proprietário da organização. | Se uma política de aplicativo da organização estiver ativa, somente um proprietário da organização poderá autorizar a instalação de um OAuth app. Se instalado, o OAuth app obterá acesso a tudo que estiver visível ao token que o proprietário da organização tem dentro da organização aprovada. |
| Um aplicativo GitHub recebe um evento de webhook quando uma instalação é alterada ou removida. Isto informa ao criador do aplicativo quando receberam mais ou menos acesso aos recursos de uma organização. | Os OAuth apps podem perder acesso a uma organização ou a um repositório a qualquer momento com base na alteração de acessos permitidos do usuário. O OAuth app não informará você quando perder acesso a um recurso. |
Identificação baseada em token
Observação
GitHub Apps também podem usar um token baseado no usuário. Para saber mais, confira Autenticação com um aplicativo GitHub em nome de um usuário.
| Aplicativos GitHub | OAuth apps |
|---|---|
| Um aplicativo GitHub pode solicitar um token de acesso de instalação usando uma chave privada com um formato de token Web JSON fora de banda. | Um OAuth app pode trocar um token de solicitação por um token de acesso após um redirecionamento por meio de uma solicitação da web. |
| Um token de instalação identifica o aplicativo como o bot GitHub Apps, como @jenkins-bot. | Um token de acesso identifica o aplicativo como o usuário que concedeu o token ao aplicativo, como @octocat. |
| Os tokens de acesso de instalação expiram após um tempo predefinido (atualmente, uma hora). | Os tokens do OAuth permanecem ativos até que sejam cancelados pelo cliente. |
| Os GitHub Apps instalados em organizações ou repositórios estão sujeitos a limites de taxa que escalam de acordo com o número de instalações. Para saber mais, confira Limites de taxa para aplicativos GitHub. | Os tokens OAuth usam o limite de taxa do usuário de 5.000 solicitações por hora. |
| Os aumentos de limite de taxa podem ser concedidos no nível dos Aplicativos do GitHub (afetando todas as instalações) e no nível da instalação individual. | Os aumentos de limite de taxa são concedidos por OAuth app. Cada token concedido a esse OAuth app tem o limite aumentado. |
| GitHub Apps podem efetuar a autenticação em nome do usuário. O fluxo de autorização é igual ao do OAuth app. Os tokens de acesso do usuário podem expirar e serem renovados com um token de atualização. Para saber mais, confira Atualizar tokens de acesso do usuário e Autenticação com um aplicativo GitHub em nome de um usuário. | O fluxo do OAuth usado por OAuth apps autoriza um OAuth app em nome do usuário. Esse é o mesmo fluxo usado para gerar um token de acesso de usuário do GitHub App. |
Solicitar níveis de permissão para os recursos
Ao contrário dos OAuth apps, os Aplicativos GitHub têm permissões direcionadas que permitem solicitar apenas o acesso necessário. Por exemplo, uma Integração Contínua (CI) do aplicativo GitHub pode solicitar acesso de leitura ao conteúdo do repositório e acesso de gravação à API de status. Outro aplicativo GitHub não pode ter acesso de leitura ou de gravação para o código, mas ainda assim pode gerenciar problemas, etiquetas e marcos. Os OAuth apps não podem usar permissões granulares.
| Acesso | Aplicativos GitHub (permissões read ou write) | OAuth apps |
|---|
**Para acesso a repositórios públicos** | O repositório público precisa ser escolhido durante a instalação. | Escopo `public_repo`. |
|
Para acesso ao código/ao conteúdo do repositório | Conteúdo do repositório | Escopo repo. |
| Para acesso a problemas, rótulos e marcos | Problemas | Escopo repo. |
| Para acesso a solicitações de pull, rótulos e marcos | Solicitações de pull | Escopo repo. |
|
Para acesso aos status de commit (para compilações de CI) | Status do commit | Escopo repo:status. |
|
Para acesso a implantações e status de implantações | Implantações | repo_deployment escopo. |
|
Para receber eventos por meio de um webhook | Um aplicativo GitHub inclui um webhook por padrão. | Escopo write:repo_hook ou write:org_hook. |
Descoberta de repositório
| Aplicativos GitHub | OAuth apps |
|---|---|
Os aplicativos GitHub podem verificar /installation/repositories para ver os repositórios que a instalação pode acessar. | Os OAuth apps podem consultar /user/repos para exibição do usuário ou /orgs/:org/repos para exibição da organização a fim de verificar os repositórios acessíveis. |
| Aplicativos GitHub recebem webhooks quando os repositórios são adicionados ou removidos da instalação do aplicativo. | Os OAuth apps criam webhooks da organização para notificações quando um repositório é criado dentro de uma organização. |
Webhooks
| Aplicativos GitHub | OAuth apps |
|---|---|
| Por padrão, os aplicativos GitHub têm um único webhook que recebe os eventos que estão configurados para receber para cada repositório ao qual têm acesso. | Os OAuth apps solicitam o escopo do webhook para criar um webhook para cada repositório do qual precisam receber eventos. |
| GitHub Apps recebem determinados eventos no nível da organização com permissão de um membro da organização. | Os OAuth apps solicitam o escopo do webhook da organização para criar um webhook para cada organização da qual precisam para receber eventos no nível da organização. |
| Os webhooks são desabilitados automaticamente quando o aplicativo GitHub é desinstalado. | Os webhooks não serão desabilitados automaticamente se o token de acesso de um OAuth app for excluído e não for possível como limpá-los automaticamente. Você precisará solicitar que os usuários façam isso manualmente. |
Acesso Git
| Aplicativos GitHub | OAuth apps |
|---|---|
| Os GitHub Apps solicitam a permissão de conteúdo do repositório e usam seu token de acesso de instalação para fazer a autenticação por meio do Git baseado em HTTP. Para saber mais, confira Gerando um token de acesso de instalação para um aplicativo GitHub | Os OAuth apps solicitam o escopo da write:public_key e Criam uma chave de implantação por meio da API. Depois, você pode usar essa chave para executar comandos do Git. |
| O token é usado como senha HTTP. | O token é usado como nome de usuário HTTP. |
Máquina vs. contas de bot
As contas de usuário do computador são contas pessoais baseadas em OAuth que separam sistemas automatizados usando o sistema de usuário do GitHub.
As contas de bot são específicas para GitHub Aplicativos e são incorporadas a cada aplicativo GitHub.
| Aplicativos GitHub | OAuth apps |
|---|---|
| Bots de apps do GitHub não consomem uma GitHub Enterprise licença. | Uma conta de usuário de máquina consome uma GitHub Enterprise licença. |
| Como um bot de aplicativo GitHub nunca recebe uma senha, um cliente não pode entrar nele diretamente. | Um nome de usuário e senha são concedidos a uma conta de usuário de máquina para ser gerenciada e protegida pelo cliente. |