Cloudflare Workers边缘环境OAuth集成指南：GitHub与Microsoft身份验证

oauth-integrations by jezweb/claude-skills

356 周安装量

670 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/jezweb/claude-skills --skill oauth-integrations

云服务 API 安全

🇨🇳中文介绍

适用于边缘环境的 OAuth 集成

在 Cloudflare Workers 及其他边缘运行时中实现 GitHub 和 Microsoft OAuth。

GitHub OAuth

必需请求头

GitHub API 有严格的要求，与其他提供商不同。

请求头	要求
`User-Agent`	必需 - 缺少此头将返回 403
`Accept`	推荐使用 `application/vnd.github+json`

const resp = await fetch('https://api.github.com/user', {
  headers: {
    Authorization: `Bearer ${accessToken}`,
    'User-Agent': 'MyApp/1.0',  // 必需！
    'Accept': 'application/vnd.github+json',
  },
});

私有邮箱处理

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

GitHub OAuth 注意事项

问题	解决方案
回调 URL	必须完全匹配 - 不支持通配符，不支持子目录匹配
令牌交换返回表单编码格式	添加 `'Accept': 'application/json'` 请求头
令牌不会过期	无需刷新流程，但令牌被撤销后需要完全重新认证

Microsoft Entra (Azure AD) OAuth

为何 MSAL 在 Workers 中无法工作

MSAL.js 依赖以下环境：

浏览器 API（localStorage、sessionStorage、DOM）
Node.js crypto 模块

Cloudflare 的 V8 隔离运行时两者都不具备。请改用手动 OAuth 方案：

手动构建 OAuth URL
通过 fetch 直接进行令牌交换
使用 jose 库进行 JWT 验证

// 用于获取用户身份信息（邮箱、姓名、头像）
const scope = 'openid email profile User.Read';

// 用于获取刷新令牌（长会话）
const scope = 'openid email profile User.Read offline_access';

关键点：User.Read 是访问 Microsoft Graph /me 端点所必需的。缺少此权限，令牌交换会成功，但获取用户信息时将返回 403。

// Microsoft Graph /me 端点
const resp = await fetch('https://graph.microsoft.com/v1.0/me', {
  headers: { Authorization: `Bearer ${accessToken}` },
});

// 邮箱可能位于不同字段中
const email = data.mail || data.userPrincipalName;

租户值	可登录用户
`common`	任何 Microsoft 账户（个人 + 工作）
`organizations`	仅限工作/学校账户
`consumers`	仅限个人 Microsoft 账户
`{tenant-id}`	仅限特定组织

应用注册 → 新注册
平台：选择 Web（非 SPA）以进行服务端 OAuth
重定向 URI：同时添加 /callback 和 /admin/callback
证书和密码 → 新建客户端密码

令牌类型	默认生命周期	说明
访问令牌	60-90 分钟	可通过令牌生命周期策略配置
刷新令牌	90 天	密码更改时撤销
ID 令牌	60 分钟	与访问令牌相同

最佳实践：对于超过 1 小时的会话，始终请求 offline_access 权限范围并实现刷新令牌流程。

如果 Claude 建议...	请改用...
GitHub fetch 时不带 User-Agent	添加 `'User-Agent': 'AppName/1.0'`（必需）
在 Workers 中使用 MSAL.js	手动 OAuth + jose 库进行 JWT 验证
Microsoft 权限范围中缺少 User.Read	添加 `User.Read` 权限范围
仅从令牌声明中获取邮箱	使用 Graph `/me` 端点

错误	原因	修复方法
403 Forbidden	缺少 User-Agent 请求头	添加 User-Agent 请求头
`email: null`	用户邮箱设为私有	使用 `user:email` 权限范围获取 `/user/emails`

错误	原因	修复方法
AADSTS50058	静默认证失败	使用交互式流程
AADSTS700084	刷新令牌已过期	重新认证用户
Graph /me 返回 403	缺少 User.Read 权限范围	在权限范围中添加 User.Read

2026 年 1 月 20 日

🇺🇸English

OAuth Integrations for Edge Environments

Implement GitHub and Microsoft OAuth in Cloudflare Workers and other edge runtimes.

GitHub OAuth

Required Headers

GitHub API has strict requirements that differ from other providers.

Header	Requirement
`User-Agent`	REQUIRED - Returns 403 without it
`Accept`	`application/vnd.github+json` recommended

const resp = await fetch('https://api.github.com/user', {
  headers: {
    Authorization: `Bearer ${accessToken}`,
    'User-Agent': 'MyApp/1.0',  // Required!
    'Accept': 'application/vnd.github+json',
  },
});

Private Email Handling

GitHub users can set email to private (/user returns email: null).

if (!userData.email) {
  const emails = await fetch('https://api.github.com/user/emails', { headers })
    .then(r => r.json());
  userData.email = emails.find(e => e.primary && e.verified)?.email;
}

Requires user:email scope.

Token Exchange

Token exchange returns form-encoded by default. Add Accept header for JSON:

const tokenResponse = await fetch('https://github.com/login/oauth/access_token', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded',
    'Accept': 'application/json',  // Get JSON response
  },
  body: new URLSearchParams({ code, client_id, client_secret, redirect_uri }),
});

GitHub OAuth Notes

Issue	Solution
Callback URL	Must be EXACT - no wildcards, no subdirectory matching
Token exchange returns form-encoded	Add `'Accept': 'application/json'` header
Tokens don't expire	No refresh flow needed, but revoked = full re-auth

Microsoft Entra (Azure AD) OAuth

Why MSAL Doesn't Work in Workers

MSAL.js depends on:

Browser APIs (localStorage, sessionStorage, DOM)
Node.js crypto module

Cloudflare's V8 isolate runtime has neither. Use manual OAuth instead:

Manual OAuth URL construction
Direct token exchange via fetch
JWT validation with jose library

Required Scopes

// For user identity (email, name, profile picture)
const scope = 'openid email profile User.Read';

// For refresh tokens (long-lived sessions)
const scope = 'openid email profile User.Read offline_access';

Critical : User.Read is required for Microsoft Graph /me endpoint. Without it, token exchange succeeds but user info fetch returns 403.

User Info Endpoint

// Microsoft Graph /me endpoint
const resp = await fetch('https://graph.microsoft.com/v1.0/me', {
  headers: { Authorization: `Bearer ${accessToken}` },
});

// Email may be in different fields
const email = data.mail || data.userPrincipalName;

Tenant Configuration

Tenant Value	Who Can Sign In
`common`	Any Microsoft account (personal + work)
`organizations`	Work/school accounts only
`consumers`	Personal Microsoft accounts only
`{tenant-id}`	Specific organization only

Azure Portal Setup

App Registration → New registration
Platform: Web (not SPA) for server-side OAuth
Redirect URIs: Add both /callback and /admin/callback
Certificates & secrets → New client secret

Token Lifetimes

Token Type	Default Lifetime	Notes
Access token	60-90 minutes	Configurable via token lifetime policies
Refresh token	90 days	Revoked on password change
ID token	60 minutes	Same as access token

Best Practice : Always request offline_access scope and implement refresh token flow for sessions longer than 1 hour.

Common Corrections

If Claude suggests...	Use instead...
GitHub fetch without User-Agent	Add `'User-Agent': 'AppName/1.0'` (REQUIRED)
Using MSAL.js in Workers	Manual OAuth + jose for JWT validation
Microsoft scope without User.Read	Add `User.Read` scope
Fetching email from token claims only	Use Graph `/me` endpoint

Error Reference

GitHub Errors

Error	Cause	Fix
403 Forbidden	Missing User-Agent header	Add User-Agent header
`email: null`	User has private email	Fetch `/user/emails` with `user:email` scope

Microsoft Errors

Error	Cause	Fix
AADSTS50058	Silent auth failed	Use interactive flow
AADSTS700084	Refresh token expired	Re-authenticate user
403 on Graph /me	Missing User.Read scope	Add User.Read to scopes

Reference

GitHub API: https://docs.github.com/en/rest
GitHub OAuth: https://docs.github.com/en/apps/oauth-apps
Microsoft Graph permissions: https://learn.microsoft.com/en-us/graph/permissions-reference
AADSTS error codes: https://learn.microsoft.com/en-us/entra/identity-platform/reference-error-codes

Weekly Installs

356

Repository

jezweb/claude-skills

GitHub Stars

652

First Seen

Jan 20, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykWarn

Installed on

claude-code290

gemini-cli242

opencode234

cursor226

antigravity214

codex211

Azure 升级评估与自动化工具 - 轻松迁移 Functions 计划、托管层级和 SKU

68,100 周安装

Cloudflare Workers边缘环境OAuth集成指南：GitHub与Microsoft身份验证

🇨🇳中文介绍

适用于边缘环境的 OAuth 集成

GitHub OAuth

必需请求头

私有邮箱处理

相关 Skills

令牌交换

GitHub OAuth 注意事项

Microsoft Entra (Azure AD) OAuth

为何 MSAL 在 Workers 中无法工作

必需权限范围

用户信息端点

租户配置

Azure 门户设置

令牌生命周期

常见修正

错误参考

GitHub 错误

Microsoft 错误

参考

🇺🇸English

OAuth Integrations for Edge Environments

GitHub OAuth

Required Headers

Private Email Handling

Token Exchange

GitHub OAuth Notes

Microsoft Entra (Azure AD) OAuth

Why MSAL Doesn't Work in Workers

Required Scopes

User Info Endpoint

Tenant Configuration

Azure Portal Setup

Token Lifetimes

Common Corrections

Error Reference

GitHub Errors

Microsoft Errors

Reference

最新 Skills