Аутентификация

Страница Account → Settings → Authentication позволяет управлять методами входа, API ключами и подключать Git провайдеров.

Методы входа

ONREZA поддерживает несколько способов входа в аккаунт:

Метод	Описание
Email (Magic Link)	Основной метод — ссылка для входа отправляется на email
GitHub OAuth	Вход через GitHub аккаунт
Telegram	Вход через Telegram
Passkey	Биометрия или аппаратный ключ (WebAuthn)

Device Flow авторизация

Device Flow — это OAuth 2.0 flow для аутентификации в CLI и других устройствах с ограниченным вводом (RFC 8628).

Как это работает

sequenceDiagram
    participant CLI
    participant API
    participant Browser
    
    CLI->>API: POST /v1/device
    API-->>CLI: device_code, user_code, verification_uri
    
    Note over Browser: User opens verification_uri
    Browser->>API: Authenticate + enter user_code
    API-->>Browser: Authorization granted
    
    loop Polling
        CLI->>API: POST /v1/device/token
        API-->>CLI: pending / access_token
    end

CLI запрашивает device code у API (POST /v1/device)
API возвращает:
- device_code — для опроса статуса
- user_code — код для ввода пользователем
- verification_uri — URL для авторизации
- expires_in — время жизни кода (10 минут)
Пользователь открывает URL и вводит user_code
CLI опрашивает API (POST /v1/device/token) пока не получит токен
После подтверждения CLI получает access token

Использование в CLI

# Авторизация через браузер
nrz login

# Откроется браузер или выведется URL для ручного ввода
# Waiting for authentication...
# Successfully authenticated as user@example.com

API Endpoints

Endpoint	Описание
`POST /v1/device`	Запрос device code
`POST /v1/device/token`	Обмен device code на access token
`GET /v1/device/verify`	Проверка статуса авторизации

API Keys

API Keys — workspace-scoped ключи для программного доступа к API. Ключи имеют префикс nrz_ и хранятся в виде хешей.

Особенности

Префикс: все ключи начинаются с nrz_
Хеширование: в базе хранится только хеш, оригинал показывается только при создании
Workspace-scoped: каждый ключ привязан к конкретному workspace
Права доступа: наследуются от владельца ключа

Создание ключа

Откройте Account → Settings → Authentication → API Keys
Нажмите Create API Key
Введите название ключа (например, “CI/CD Production”)
Выберите workspace из списка
Скопируйте ключ — он показывается только один раз

Заголовки для аутентификации

API поддерживает два формата заголовков для передачи токена:

Authorization Bearer
X-API-Key

Authorization: Bearer nrz_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

X-API-Key: nrz_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Оба формата эквивалентны. Используйте тот, который удобнее для вашего клиента.

X-Workspace Header

Для API endpoints требующий workspace контекст, используйте заголовок X-Workspace вместо URL параметра slug:

GET /api/v1/projects HTTP/1.1
Host: api.onreza.ru
Authorization: Bearer nrz_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
X-Workspace: my-workspace

Управление ключами

Действие	Описание
View	Просмотр метаданных ключа (без самого значения)
Revoke	Отзыв ключа — немедленная блокировка
Rotate	Создание нового ключа с отзывом старого

Git провайдеры

Git провайдеры дают доступ к репозиториям для создания проектов и автоматических деплоев.

Провайдер	Подключение	Вход	Репозитории	Статус
GitHub	GitHub App (OAuth)	Да	Да	Production
GitVerse	Personal Access Token	Да	Да	Production
SourceCraft	Personal Access Token	Да	Да	Production

Управление провайдерами

В разделе Account → Settings → Authentication доступны следующие действия для каждого провайдера:

Действие	Описание
Connect	Подключение нового провайдера
Disconnect	Отключение провайдера
Set Default	Установка провайдера по умолчанию
Configure	Настройка доступа к репозиториям

GitHub

GitHub — основной провайдер с полной OAuth интеграцией. Подключение GitHub даёт:

Вход через GitHub — дополнительный метод аутентификации
Доступ к репозиториям — импорт и автоматические деплои через GitHub App

Откройте Account → Settings → Authentication
В карточке GitHub нажмите Подключить в строке «Вход»
Авторизуйтесь через GitHub OAuth
Для доступа к репозиториям нажмите Install GitHub App
Выберите репозитории в интерфейсе GitHub

GitVerse

Для подключения GitVerse нужен Personal Access Token (PAT).

Откройте GitVerse → Settings → Tokens
Создайте токен с правами:
- Репозитории: Чтение + Запись
- Организации: Чтение
- Пользователи: Чтение
В ONREZA откройте Account → Settings → Authentication
В карточке GitVerse нажмите Connect
Вставьте токен и сохраните

SourceCraft

Для подключения SourceCraft нужен PAT и slug организации.

Откройте SourceCraft → Settings → Access Tokens
Создайте токен с правами на чтение репозиториев
В ONREZA откройте Account → Settings → Authentication
В карточке SourceCraft нажмите Connect
Вставьте токен и slug организации

Провайдер по умолчанию

Вы можете выбрать провайдер по умолчанию — он будет использоваться при создании проектов через URL.

Для этого нажмите «Сделать по умолчанию» на карточке нужного провайдера.

Привязка и отвязка методов входа

Привязать метод

GitHub — нажмите «Подключить» → пройдите OAuth авторизацию
Telegram — нажмите кнопку Telegram Login Widget → авторизуйтесь в Telegram
Passkey — нажмите «Добавить ключ доступа» → следуйте инструкциям браузера

Отвязать метод

Нажмите «Отключить» рядом с подключённым методом.

Регистрация через Telegram

Если вы зарегистрировались через Telegram, ваш аккаунт имеет временный email (telegram_XXX@noreply.onreza.ru). Рекомендуем указать настоящий email для:

Получения уведомлений о деплоях
Восстановления доступа к аккаунту
Входа через Magic Link

Откройте Account → Settings → General
Нажмите Change Email
Введите ваш настоящий email
Подтвердите по ссылке из письма

Ключи доступа (Passkey)

Passkey — безопасный метод входа через биометрию (отпечаток пальца, Face ID) или аппаратный ключ (YubiKey).

Passkey привязан к устройству
Каждый passkey можно именовать для удобства
Можно добавить несколько passkeys

См. также

Git интеграция Webhooks и автоматические деплои

API Reference Полная документация API