rullst-connect

Projekte, die den nachfolgenden Best Practices folgen, können sich freiwillig selbst zertifizieren und zeigen, dass sie einen Core-Infrastruktur-Initiative-/OpenSSF-Badge erhalten haben.

Es gibt keine Auswahl an Praktiken, die garantieren können, dass Software niemals Fehler oder Schwachstellen hat. Selbst formale Methoden können fehlschlagen, wenn die Spezifikationen oder Annahmen falsch sind. Auch gibt es keine Auswahl an Praktiken, die garantieren können, dass ein Projekt eine gesunde und gut funktionierende Entwicklungsgemeinschaft erhalten wird. Allerdings können Best Practices dabei helfen, die Ergebnisse von Projekten zu verbessern. Zum Beispiel ermöglichen einige Praktiken die Mehrpersonen-Überprüfung vor der Freigabe, die sowohl helfen können ansonsten schwer zu findende technische Schwachstellen zu finden und gleichzeitig dazu beitragen Vertrauen und den Wunsch nach wiederholter Zusammenarbeit zwischen Entwicklern verschiedener Unternehmen zu schaffen. Um ein Badge zu verdienen, müssen alle MÜSSEN und MÜSSEN NICHT Kriterien erfüllt sein, alle SOLLTEN Kriterien müssen erfüllt sein oder eine Rechtfertigung enthalten, und alle EMPFHOLEN Kriterien müssen erfüllt sein oder nicht (wir wollen sie zumindest berücksichtigt wissen). Wenn lediglich ein allgemeiner Kommentar angebeben werden soll, keine direkte Begründung, dann ist das erlaubt, wenn der Text mit "//" und einem Leerzeichen beginnt. Feedback ist willkommen auf derGitHub-Website als Issue oder Pull-Request. Es gibt auch eine E-Mail-Liste für allgemeine Diskussionen.

Wir stellen Ihnen gerne die Informationen in mehreren Sprachen zur Verfügung, allerdings ist die englische Version maßgeblich, insbesondere wenn es Konflikte oder Inkonsistenzen zwischen den Übersetzungen gibt.

Wenn dies Ihr Projekt ist, zeigen Sie bitte Ihren Badge-Status auf Ihrer Projektseite! Der Badge-Status sieht so aus:

So können Sie ihn einbetten:

Sie können Ihren Badge-Status anzeigen, indem Sie Folgendes in Ihre Markdown-Datei einbetten:

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/13360/badge)](https://www.bestpractices.dev/projects/13360)

oder indem Sie Folgendes in Ihr HTML einbetten:

<a href="https://www.bestpractices.dev/projects/13360"><img src="https://www.bestpractices.dev/projects/13360/badge"></a>

Dies sind die Kriterien das Level

. Sie können auch die Kriterien für die Level

oder

sehen.

Baseline Series: Baseline Niveau 1 Baseline Niveau 2 Baseline Niveau 3

Grundlagen 0/5 ●

Allgemein

Was ist der von Menschen lesbare Name des Projekts?
Hinweis: Andere Projekte können den selben Namen benutzen.

Was ist eine Kurzbeschreibung des Projektes?

Rust Connect is an elegant, async-first, and Developer Experience (DX) focused OAuth2 authentication library for Rust,

Wie lautet die URL für das Projekt (vollständig)?
https://rullst.github.io/rullst-connect

Was ist die URL für das Versionskontroll-Repository (es kann mit der Projekt-URL identisch sein)?
https://github.com/Rullst/rullst-connect

Unter welcher Lizenz/welchen Lizenzen ist das Projekt veröffentlicht?
Bitte verwenden Sie das SPDX-License-Expression-Format; Beispiele sind "Apache-2.0", "BSD-2-Clause", "BSD-3-Clause", "GPL-2.0+", "LGPL-3.0+", "MIT" und "(BSD-2-Clause OR Ruby)". Geben sie nicht die einfachen oder doppelten Anführungszeichen mit an.

Welche Programmiersprache wird verwendet, um das Projekt umzusetzen?
Wenn es mehr als eine Programmiersprache gibt, listen Sie sie als kommagetrennte Werte (Leerzeichen sind optional) auf und sortieren Sie sie von am häufigsten zum am wenigsten verwendeten. Wenn es eine lange Liste gibt, bitte mindestens die ersten drei häufigsten auflisten. Wenn es keine Programmiersprache gibt (z. B. ist dies nur ein Dokumentations- oder Testprojekt), verwenden Sie das einzelne Zeichen "-". Bitte verwenden Sie eine herkömmliche Großschreibung für jede Sprache, z.B. "JavaScript".

Was ist der Common-Platform-Enumeration-/CPE-Name für das Projekt (wenn es einen gibt)?
Das Common Platform Enumeration (CPE) ist ein strukturiertes Namensschema für IT-Systeme, Software und Pakete. Es wird in diversen Systemen und Datenbanken bei der Meldung von Schwachstellen verwendet.
Andere allgemeine Hinweise zum Projekt?
Rullst Connect 🦀

Rullst Connect is an elegant, async-first, and Developer Experience (DX) focused OAuth2 authentication library for Rust. It simplifies the integration of social logins into your Rust web applications, providing a standardized interface across multiple providers.

🛡️ Quality & Security Audits

CI & Coverage Security & Analysis Formal & Advanced Testing

 

 

✨ Features
- 🚀 Async & Fast: Built on top of tokio and reqwest.
- 🧩 Standardized: All providers return a unified ConnectUser struct.
- 🛡️ Type-Safe: Robust error handling using thiserror (ConnectError).
- 🔌 Framework Agnostic: Works seamlessly with Rullst, Axum, Actix, Leptos, Dioxus, or any other framework.
- 🔐 Enterprise Security: Built-in OIDC Discovery, JWKS validation, and automated CSRF tower-sessions.
- 📺 Device Flow: Native RFC 8628 support for headless CLI and Smart TV auth.
- 🛠️ Testing: Embedded Mock IdP router for seamless offline local E2E testing.
📚 Important Documents:
- CHANGELOG.md: See what's new.
- ISSUES: Any issue? Please report.
- ROADMAP.md: Discover our path.
- AUDIT.md: Complete security, performance, and maintainability audit report.
📦 Supported Providers

Official support for 11 core providers:
1. Google
2. GitHub
3. Microsoft / Azure AD
4. Apple (Sign in with Apple)
5. Auth0
6. AWS Cognito
7. Facebook
8. X (Twitter) (Strict PKCE requirement)
9. Discord
10. LinkedIn
11. OIDC (OpenID Connect Custom Provider)
🛠️ Installation

Add the package to your Cargo.toml. If you use Rullst, Axum, Actix, or Leptos, you can enable their specific features for native Extractor support!

You can either run:
```
cargo add rullst-connect
```
Or manually add it to your Cargo.toml:
```
[dependencies]
rullst-connect = "10.0.1"
tokio = { version = "1.52", features = ["full"] }
```
🚀 Quick Start

1. Initialize the Provider

Choose your provider and pass your credentials and callback URL:
```
use rullst_connect::prelude::*;

let github = GithubProvider::new(
 "YOUR_CLIENT_ID".to_string(),
 "YOUR_CLIENT_SECRET".to_string(),
 "http://localhost:3000/auth/github/callback".to_string(),
);
```
2. Redirect the User

Get the authorization URL and redirect your user:
```
let url = github.redirect_url();
// Example in Axum: return Redirect::temporary(&url);
```
3. Handle the Callback & Get User

When the user returns to your callback URL with a code query parameter, exchange it for a ConnectUser:
```
let params = rullst_connect::provider::ExchangeParams {
 auth_code: code,
 ..Default::default()
};
match github.get_user(params).await {
 Ok(user) => {
 println!("Welcome, {}!", user.name);
 println!("Email: {:?}", user.email);
 println!("Avatar: {:?}", user.avatar_url);
 }
 Err(_) => return (StatusCode::INTERNAL_SERVER_ERROR, "Failed to get user".to_string()),
}
```
🛡️ CSRF Protection (State Parameter)

To prevent Cross-Site Request Forgery (CSRF) attacks, you should generate a secure random string, save it in a session/cookie, and pass it to the provider.
```
// 1. Generate a random state string and save it in the session
let state = "random_secure_string";

// 2. Get the authorization URL with the state parameter using the builder
let url = github.with_state(state).redirect_url();
// return Redirect::temporary(&url);

// 3. In the callback route, verify if the query param `state` matches your session!
// If you are using the optional `axum` or `actix` features, you can use `verify_state`:
// params.verify_state(&state_from_session)?;
```
🔄 Refreshing Tokens

If an access token expires, you can seamlessly renew it without asking the user to login again by using their refresh_token:
```
let refreshed_user = github.refresh_token("existing_refresh_token_string").await?;
// Tokens are wrapped in `secrecy::SecretString` to prevent accidental log leakage ([REDACTED]).
// When you need to send it to an API, expose it explicitly:
use secrecy::ExposeSecret;
let raw_token = refreshed_user.access_token.expose_secret();
println!("Successfully refreshed token securely!");
```
🔒 PKCE Support (v9.0.0+)

All providers natively support PKCE (Proof Key for Code Exchange) to mitigate authorization code interception attacks. Some providers like X (Twitter) v2 strictly require it.
```
use rullst_connect::pkce::generate_pkce;

// 1. Generate challenge and verifier
let (code_verifier, code_challenge) = generate_pkce();

// 2. Save `code_verifier` in the user's session or a secure HttpOnly cookie!

// 3. Get the URL with PKCE natively using the builder pattern
let auth_url = provider.with_pkce(&code_challenge).redirect_url();

// 4. In the callback route, fetch the user using the saved verifier:
let params = rullst_connect::provider::ExchangeParams {
 auth_code: &code,
 code_verifier: Some(&code_verifier),
 ..Default::default()
};
let user = provider.get_user(params).await.unwrap();
```
🧑‍💻 Full Example with Axum

You can find a complete working server using the Axum framework in the examples directory. Just run:
```
cargo run --example axum_server
```
📦 Releasing a New Version

This project uses cargo-release to automate version bumps, README synchronization, and CHANGELOG management.
The publish workflow in .github/workflows/publish.yml runs when a vX.Y.Z tag is pushed, and it can also be triggered manually from GitHub Actions.

To release a new version, simply run:
```
# install it first if you haven't: cargo install cargo-release
cargo release patch --execute # for v1.0.x patches
cargo release minor --execute # for v1.x.0 features
cargo release major --execute # for vX.0.0 breaking changes
```
This will automatically bump versions, tag the release, and push to GitHub, triggering the crates.io publish workflow.

For the exact release checklist and what to do next time, see RELEASING.md.

🤝 Contributing

Feel free to open Issues and submit Pull Requests! Want to add a new provider? It's easy! Just implement the Provider trait.

📄 License

This project is licensed under the MIT License.
Voraussetzungen

Criterion [achieve_silver]
Erfüllt

Unerfüllt

Das Projekt MUSS ein Silber-Siegel erreichen. ^{[achieve_silver]}
Projektüberwachung

Criterion [bus_factor]
Erfüllt

Unerfüllt

?

Das Projekt MUSS einen "Busfaktor" von 2 oder mehr haben. (URL erforderlich) ^[bus_factor]
Ein "bus factor" (aka "LKW-Faktor") ist die minimale Anzahl von Projektmitgliedern, die plötzlich aus einem Projekt ("hit by a bus") verschwinden müssen, bevor das Projekt aufgrund fehlender kompetenter Mitarbeiter stockt. Das Truck-Factor-Tool kann dies für Projekte auf GitHub schätzen. Weitere Informationen finden Sie unter Bewertung des Busfaktors von Git-Repositories von Cosentino et al.

Criterion [contributors_unassociated]
Erfüllt

Unerfüllt

?

Das Projekt MUSS mindestens zwei unabhängige bedeutende Entwickler haben. (URL erforderlich) ^{[contributors_unassociated]}
Die Mitwirkenden sind assoziiert, wenn sie von der gleichen Organisation (als Angestellter oder Auftragnehmer) bezahlt werden und die Organisation von den Ergebnissen des Projekts profitieren wird. Finanzielle Zuschüsse aus derselben Organisation zählen nicht, wenn sie durch andere Organisationen gehen (z.B. werden wissenschaftliche Zuschüsse, die an verschiedene Organisationen von einer gemeinsamen Regierung oder NGO-Quelle gezahlt werden, nicht dazu führen, dass die Mitwirkenden assoziiert werden). Jemand ist ein/e wichtige/r Mitwirkende/r, wenn sie/er im vergangenen Jahr nicht-triviale Beiträge zum Projekt geleistet hat. Beispiele für gute Indikatoren für einen bedeutenden Mitwirkenden sind: mindestens 1.000 Zeilen Code geschrieben, 50 Commits erarbeitet oder mindestens 20 Seiten zur Dokumentation beigetragen.
Andere

Criterion [copyright_per_file]
Erfüllt

Unerfüllt

?

Das Projekt MUSS eine Copyright-Erklärung in jeder Quelldatei enthalten, die den Urheberrechtsinhaber identifiziert (z. B. den [Projektnamen] oder die Contributors). ^{[copyright_per_file]}
Dies DARF getan werden, indem man Folgendes innerhalb eines Kommentars relativ am Anfangs jeder Datei einfügt: Copyright the [project name] contributors.". Siehe "Copyright Notices in Open Source Software Projects" by Steve Winslow.

Criterion [license_per_file]
Erfüllt

Unerfüllt

?

Das Projekt MUSS eine Lizenzerklärung in jeder Quelldatei enthalten. Dies DARF als Kommentar relativ am Anfangs jeder Datei einfügt sein: SPDX-License-Identifier: [SPDX license expression for project]. ^{[license_per_file]}
Dies DARF auch durch die Einbeziehung einer Erklärung in natürlicher Sprache geschehen, die die Lizenz kennzeichnet. Das Projekt DARF auch eine stabile URL enthalten, die auf den Lizenztext oder den vollständigen Lizenztext hinweist. Beachten Sie, dass das Kriterium license_location die Projektlizenz an einem Standardstandort benötigt. Weitere Informationen zu SPDX-Lizenzausdrücken finden Sie unter SPDX-Tutorial . Beachten Sie die Beziehung zu copyright_per_file , deren Inhalt typischerweise den Lizenzinformationen vorausgeht.

CI & Coverage	Security & Analysis	Formal & Advanced Testing
<br><br>	<br><br><br>	<br><br>
		<br>

Analyse 0/2 ●

Dynamische Codeanalyse

Criterion [dynamic_analysis]
Erfüllt

Unerfüllt

N/A

?

Das Projekt MUSS mindestens ein dynamisches Analyse-Tool auf jeden kommenden Hauptproduktionsrelease der Software, die durch das Projekt vor seiner Freigabe produziert wird, anwenden. ^{[dynamic_analysis]}
Ein dynamisches Analyse-Tool untersucht die Software, indem es sie mit bestimmten Eingaben ausführt. Beispielsweise DARF das Projekt ein Fuzzing-Tool verwenden (z.B. American Fuzzy Lop) oder einen Web Application Scanner (z.B. OWASP ZAP oder w3af). In einigen Fällen ist das OSS-Fuzz Projekt bereit, Fuzz-Tests auf Ihr Projekt anzuwenden. Für die Zwecke dieses Kriteriums muss das dynamische Analyse-Tool die Eingaben in irgendeiner Weise variieren, um nach verschiedenen Arten von Problemen zu suchen oder eine automatisierte Test-Suite mit mindestens 80% Zweig-Abdeckung sein. Die Englische Wikipedia-Seite zur dynamischen Analysen und die OWASP Seite über Fuzzing nennen einige dynamische Analyse-Tools. Das Analyse-Tool(s) DARF für der Suche nach Sicherheitslücken eingesetzt werden, aber das ist nicht erforderlich.

Warnung: Erfordert eine längere Begründung.

Criterion [dynamic_analysis_enable_assertions]
Erfüllt

Unerfüllt

N/A

?

Das Projekt SOLLTE viele Laufzeit-Assertionen in der Projektsoftware enthalten und diese Assertionen während der dynamischen Analyse überprüfen. ^{[dynamic_analysis_enable_assertions]}
Dieses Kriterium schlägt nicht vor, Assertions in der Produktionsumgebung zu aktivieren; das liegt ganz beim Projekt und seinen Benutzern. Stattdessen liegt der Fokus dieses Kriteriums darauf, die Fehlererkennung während der dynamischen Analyse vor der Bereitstellung zu verbessern. Das Aktivieren von Assertions im Produktionseinsatz unterscheidet sich völlig vom Aktivieren von Assertions während der dynamischen Analyse (wie z.B. Tests). In einigen Fällen ist das Aktivieren von Assertions im Produktionseinsatz äußerst unklug (insbesondere bei hochintegren Komponenten). Es gibt viele Argumente gegen das Aktivieren von Assertions in der Produktion, z.B. sollten Bibliotheken keine Aufrufer zum Absturz bringen, ihre Anwesenheit kann zur Ablehnung durch App Stores führen und/oder das Auslösen einer Assertion in der Produktion kann private Daten wie private Schlüssel offenlegen. Beachten Sie, dass in vielen Linux-Distributionen NDEBUG nicht definiert ist, sodass C/C++ assert() standardmäßig für die Produktion in diesen Umgebungen aktiviert wird. Es kann wichtig sein, einen anderen Assertion-Mechanismus zu verwenden oder NDEBUG für die Produktion in diesen Umgebungen zu definieren.

Warnung: Erfordert eine längere Begründung.

Diese Daten sind unter der Community Data License Agreement – Permissive, Version 2.0 (CDLA-Permissive-2.0) verfügbar. Dies bedeutet, dass ein Datenempfänger die Daten mit oder ohne Änderungen weitergeben darf, solange der Datenempfänger den Text dieser Vereinbarung mit den weitergegebenen Daten zur Verfügung stellt. Bitte nennen Sie @venelouis und die OpenSSF Best Practices Badge-Mitwirkenden als Urheber.

rullst-connect

Grundlagen 0/5 ●

Allgemein

Rullst Connect 🦀

🛡️ Quality & Security Audits

✨ Features

📦 Supported Providers

🛠️ Installation

🚀 Quick Start

1. Initialize the Provider

2. Redirect the User

3. Handle the Callback & Get User

🛡️ CSRF Protection (State Parameter)

🔄 Refreshing Tokens

🔒 PKCE Support (v9.0.0+)

🧑‍💻 Full Example with Axum

📦 Releasing a New Version

🤝 Contributing

📄 License

Voraussetzungen

Projektüberwachung

Andere

Verbesserungs-/Nacharbeits-Kontrolle 1/4 ●

Öffentliches Versionskontroll-Source-Repository

Qualität 0/7 ●

Programmierstil

Produktivsystem

Automatisierte Test-Suite

Sicherheit 0/5 ●

Verwende grundlegend gute kryptographische Praktiken

Gesicherte Zustellung gegen Man-in-the-Middle-/MITM-Angriffe

Andere Sicherheitsissues

Analyse 0/2 ●

Dynamische Codeanalyse