rullst-connect

Los proyectos que siguen las mejores prácticas a continuación pueden autocertificarse voluntariamente y demostrar que han obtenido una insignia de mejores prácticas de Open Source Security Foundation (OpenSSF).

No existe un conjunto de prácticas que pueda garantizar que el software nunca tendrá defectos o vulnerabilidades; incluso los métodos formales pueden fallar si las especificaciones o suposiciones son incorrectas. Tampoco existe ningún conjunto de prácticas que pueda garantizar que un proyecto mantenga una comunidad de desarrollo saludable y que funcione bien. Sin embargo, seguir las mejores prácticas puede ayudar a mejorar los resultados de los proyectos. Por ejemplo, algunas prácticas permiten la revisión por parte de múltiples personas antes del lanzamiento, lo que puede ayudar a encontrar vulnerabilidades técnicas que de otro modo serían difíciles de encontrar y ayudar a generar confianza y un deseo repetido de interacción entre desarrolladores de diferentes compañías. Para obtener una insignia, se deben cumplir todos los criterios DEBE y NO DEBE, se deben cumplir, así como todos los criterios DEBERÍAN deben cumplirse o ser justificados, y todos los criterios SUGERIDOS se pueden cumplir o incumplir (queremos que se consideren al menos). Si desea añadir texto como justificación mediante un comentario genérico, en lugar de ser un razonamiento de que la situación es aceptable, comience el bloque de texto con '//' seguido de un espacio. Los comentarios son bienvenidos a través del sitio de GitHub mediante "issues" o "pull requests". También hay una lista de correo electrónico para el tema principal.

Con mucho gusto proporcionaríamos la información en varios idiomas, sin embargo, si hay algún conflicto o inconsistencia entre las traducciones, la versión en inglés es la versión autorizada.

Si este es su proyecto, por favor muestre el estado de su insignia en la página de su proyecto. El estado de la insignia se ve así:

Aquí se explica cómo insertarla:

Puede mostrar el estado de su insignia insertando esto en su archivo markdown:

[![OpenSSF Best Practices](https://www.bestpractices.dev/projects/13360/badge)](https://www.bestpractices.dev/projects/13360)

o insertando esto en su HTML:

<a href="https://www.bestpractices.dev/projects/13360"><img src="https://www.bestpractices.dev/projects/13360/badge"></a>

Estos son los criterios de nivel

. También puede ver los criterios de nivel

.

Baseline Series: Nivel Base 1 Nivel Base 2 Nivel Base 3

Fundamentos 0/5 ●

General

¿Cuál es el nombre legible del proyecto?
Tenga en cuenta que otros proyectos pueden usar el mismo nombre.

¿Cuál es una breve descripción del proyecto?

Rust Connect is an elegant, async-first, and Developer Experience (DX) focused OAuth2 authentication library for Rust,

¿Cuál es la URL del proyecto (en su conjunto)?
https://rullst.github.io/rullst-connect

¿Cuál es la URL del repositorio de control de versiones (puede ser la misma que la URL del proyecto)?
https://github.com/Rullst/rullst-connect

¿Bajo qué licencia(s) se publica el proyecto?
Por favor use formato de expresión de licencia SPDX; los ejemplos incluyen "Apache-2.0", "BSD-2-Clause", "BSD-3-Clause", "GPL-2.0+", "LGPL-3.0+", "MIT" y "(BSD-2-Clause OR Ruby)". No incluya comillas simples o comillas dobles.

¿Qué lenguaje(s) de programación se utilizan para implementar el proyecto?
Si hay más de un lenguaje, enumérelos como valores separados por comas (los espacios son opcionales) y ordénelos de más a menos usado. Si hay una lista larga, por favor enumere al menos los tres primeros más comunes. Si no hay lenguaje (por ejemplo, este es un proyecto solo de documentación o solo de pruebas), use el carácter único "-". Por favor use una capitalización convencional para cada lenguaje, por ejemplo, "JavaScript".

¿Cuál es el nombre Common Platform Enumeration (CPE) para el proyecto (si tiene uno)?
La Common Platform Enumeration (CPE) es un esquema de nomenclatura estructurado para sistemas de tecnología de la información, software y paquetes. Se utiliza en varios sistemas y bases de datos al reportar vulnerabilidades.
Otros comentarios generales sobre el proyecto:
Rullst Connect 🦀

Rullst Connect is an elegant, async-first, and Developer Experience (DX) focused OAuth2 authentication library for Rust. It simplifies the integration of social logins into your Rust web applications, providing a standardized interface across multiple providers.

🛡️ Quality & Security Audits

CI & Coverage Security & Analysis Formal & Advanced Testing

 

 

✨ Features
- 🚀 Async & Fast: Built on top of tokio and reqwest.
- 🧩 Standardized: All providers return a unified ConnectUser struct.
- 🛡️ Type-Safe: Robust error handling using thiserror (ConnectError).
- 🔌 Framework Agnostic: Works seamlessly with Rullst, Axum, Actix, Leptos, Dioxus, or any other framework.
- 🔐 Enterprise Security: Built-in OIDC Discovery, JWKS validation, and automated CSRF tower-sessions.
- 📺 Device Flow: Native RFC 8628 support for headless CLI and Smart TV auth.
- 🛠️ Testing: Embedded Mock IdP router for seamless offline local E2E testing.
📚 Important Documents:
- CHANGELOG.md: See what's new.
- ISSUES: Any issue? Please report.
- ROADMAP.md: Discover our path.
- AUDIT.md: Complete security, performance, and maintainability audit report.
📦 Supported Providers

Official support for 11 core providers:
1. Google
2. GitHub
3. Microsoft / Azure AD
4. Apple (Sign in with Apple)
5. Auth0
6. AWS Cognito
7. Facebook
8. X (Twitter) (Strict PKCE requirement)
9. Discord
10. LinkedIn
11. OIDC (OpenID Connect Custom Provider)
🛠️ Installation

Add the package to your Cargo.toml. If you use Rullst, Axum, Actix, or Leptos, you can enable their specific features for native Extractor support!

You can either run:
```
cargo add rullst-connect
```
Or manually add it to your Cargo.toml:
```
[dependencies]
rullst-connect = "10.0.1"
tokio = { version = "1.52", features = ["full"] }
```
🚀 Quick Start

1. Initialize the Provider

Choose your provider and pass your credentials and callback URL:
```
use rullst_connect::prelude::*;

let github = GithubProvider::new(
 "YOUR_CLIENT_ID".to_string(),
 "YOUR_CLIENT_SECRET".to_string(),
 "http://localhost:3000/auth/github/callback".to_string(),
);
```
2. Redirect the User

Get the authorization URL and redirect your user:
```
let url = github.redirect_url();
// Example in Axum: return Redirect::temporary(&url);
```
3. Handle the Callback & Get User

When the user returns to your callback URL with a code query parameter, exchange it for a ConnectUser:
```
let params = rullst_connect::provider::ExchangeParams {
 auth_code: code,
 ..Default::default()
};
match github.get_user(params).await {
 Ok(user) => {
 println!("Welcome, {}!", user.name);
 println!("Email: {:?}", user.email);
 println!("Avatar: {:?}", user.avatar_url);
 }
 Err(_) => return (StatusCode::INTERNAL_SERVER_ERROR, "Failed to get user".to_string()),
}
```
🛡️ CSRF Protection (State Parameter)

To prevent Cross-Site Request Forgery (CSRF) attacks, you should generate a secure random string, save it in a session/cookie, and pass it to the provider.
```
// 1. Generate a random state string and save it in the session
let state = "random_secure_string";

// 2. Get the authorization URL with the state parameter using the builder
let url = github.with_state(state).redirect_url();
// return Redirect::temporary(&url);

// 3. In the callback route, verify if the query param `state` matches your session!
// If you are using the optional `axum` or `actix` features, you can use `verify_state`:
// params.verify_state(&state_from_session)?;
```
🔄 Refreshing Tokens

If an access token expires, you can seamlessly renew it without asking the user to login again by using their refresh_token:
```
let refreshed_user = github.refresh_token("existing_refresh_token_string").await?;
// Tokens are wrapped in `secrecy::SecretString` to prevent accidental log leakage ([REDACTED]).
// When you need to send it to an API, expose it explicitly:
use secrecy::ExposeSecret;
let raw_token = refreshed_user.access_token.expose_secret();
println!("Successfully refreshed token securely!");
```
🔒 PKCE Support (v9.0.0+)

All providers natively support PKCE (Proof Key for Code Exchange) to mitigate authorization code interception attacks. Some providers like X (Twitter) v2 strictly require it.
```
use rullst_connect::pkce::generate_pkce;

// 1. Generate challenge and verifier
let (code_verifier, code_challenge) = generate_pkce();

// 2. Save `code_verifier` in the user's session or a secure HttpOnly cookie!

// 3. Get the URL with PKCE natively using the builder pattern
let auth_url = provider.with_pkce(&code_challenge).redirect_url();

// 4. In the callback route, fetch the user using the saved verifier:
let params = rullst_connect::provider::ExchangeParams {
 auth_code: &code,
 code_verifier: Some(&code_verifier),
 ..Default::default()
};
let user = provider.get_user(params).await.unwrap();
```
🧑‍💻 Full Example with Axum

You can find a complete working server using the Axum framework in the examples directory. Just run:
```
cargo run --example axum_server
```
📦 Releasing a New Version

This project uses cargo-release to automate version bumps, README synchronization, and CHANGELOG management.
The publish workflow in .github/workflows/publish.yml runs when a vX.Y.Z tag is pushed, and it can also be triggered manually from GitHub Actions.

To release a new version, simply run:
```
# install it first if you haven't: cargo install cargo-release
cargo release patch --execute # for v1.0.x patches
cargo release minor --execute # for v1.x.0 features
cargo release major --execute # for vX.0.0 breaking changes
```
This will automatically bump versions, tag the release, and push to GitHub, triggering the crates.io publish workflow.

For the exact release checklist and what to do next time, see RELEASING.md.

🤝 Contributing

Feel free to open Issues and submit Pull Requests! Want to add a new provider? It's easy! Just implement the Provider trait.

📄 License

This project is licensed under the MIT License.
Prerrequisitos

Criterion [achieve_silver]
Cumplido

No cumplido

El proyecto DEBE lograr una insignia de nivel plata. ^{[achieve_silver]}
Supervisión del proyecto

Criterion [bus_factor]
Cumplido

No cumplido

?

El proyecto DEBE tener un "bus factor" de 2 o más. (URL requerida) ^[bus_factor]
Un "factor de autobús" (también conocido como "factor de camión") es el número mínimo de miembros del proyecto que tienen que desaparecer repentinamente de un proyecto ("ser atropellados por un autobús") antes de que el proyecto se paralice debido a la falta de personal conocedor o competente. La herramienta truck-factor puede estimar esto para proyectos en GitHub. Para más información, ver Assessing the Bus Factor of Git Repositories de Cosentino et al.

Criterion [contributors_unassociated]
Cumplido

No cumplido

?

El proyecto DEBE tener al menos dos contribuidores significativos no asociados. (URL requerida) ^{[contributors_unassociated]}
Los contribuidores están asociados si son pagados para trabajar por la misma organización (como empleado o contratista) y la organización se beneficia de los resultados del proyecto. Las subvenciones financieras no cuentan como ser de la misma organización si pasan a través de otras organizaciones (por ejemplo, las subvenciones científicas pagadas a diferentes organizaciones de una fuente gubernamental o de ONG común no hacen que los contribuidores estén asociados). Alguien es un contribuidor significativo si ha hecho contribuciones no triviales al proyecto en el último año. Ejemplos de buenos indicadores de un contribuidor significativo son: haber escrito al menos 1,000 líneas de código, haber contribuido 50 commits, o haber contribuido al menos 20 páginas de documentación.
Otro

Criterion [copyright_per_file]
Cumplido

No cumplido

?

El proyecto DEBE incluir una declaración de derechos de autor en cada archivo fuente, identificando al titular de los derechos de autor (por ejemplo, los contribuidores de [nombre del proyecto]). ^{[copyright_per_file]}
Esto PUEDE hacerse incluyendo lo siguiente dentro de un comentario cerca del comienzo de cada archivo: "Copyright the [project name] contributors.". Vea "Copyright Notices in Open Source Software Projects" de Steve Winslow.

Criterion [license_per_file]
Cumplido

No cumplido

?

El proyecto DEBE incluir una declaración de licencia en cada archivo fuente. Esto PUEDE hacerse incluyendo lo siguiente dentro de un comentario cerca del comienzo de cada archivo: SPDX-License-Identifier: [expresión de licencia SPDX para el proyecto]. ^{[license_per_file]}
Esto también PUEDE hacerse incluyendo una declaración en lenguaje natural que identifique la licencia. El proyecto también PUEDE incluir una URL estable que apunte al texto de la licencia, o el texto completo de la licencia. Tenga en cuenta que el criterio license_location requiere que la licencia del proyecto esté en una ubicación estándar. Vea este tutorial de SPDX para obtener más información sobre expresiones de licencia SPDX. Observe la relación con copyright_per_file, cuyo contenido típicamente precedería la información de la licencia.

CI & Coverage	Security & Analysis	Formal & Advanced Testing
<br><br>	<br><br><br>	<br><br>
		<br>

Análisis 0/2 ●

Análisis dinámico de código

Criterion [dynamic_analysis]
Cumplido

No cumplido

N/A

?

El proyecto DEBE aplicar al menos una herramienta de análisis dinámico a cualquier versión de producción principal propuesta del software producido por el proyecto antes de su lanzamiento. ^{[dynamic_analysis]}
Una herramienta de análisis dinámico examina el software ejecutándolo con entradas específicas. Por ejemplo, el proyecto PUEDE usar una herramienta de fuzzing (por ejemplo, American Fuzzy Lop) o un escáner de aplicaciones web (por ejemplo, OWASP ZAP o w3af). En algunos casos, el proyecto OSS-Fuzz puede estar dispuesto a aplicar pruebas de fuzzing a su proyecto. Para los propósitos de este criterio, la herramienta de análisis dinámico necesita variar las entradas de alguna manera para buscar varios tipos de problemas o ser una suite de pruebas automatizada con al menos 80% de cobertura de ramas. La página de Wikipedia sobre análisis dinámico y la página de OWASP sobre fuzzing identifican algunas herramientas de análisis dinámico. La(s) herramienta(s) de análisis PUEDEN estar enfocadas en buscar vulnerabilidades de seguridad, pero esto no es obligatorio.

Advertencia: Requiere justificación más extensa.

Criterion [dynamic_analysis_enable_assertions]
Cumplido

No cumplido

N/A

?

El proyecto DEBERÍA incluir muchas aserciones en tiempo de ejecución en el software que produce y verificar esas aserciones durante el análisis dinámico. ^{[dynamic_analysis_enable_assertions]}
Este criterio no sugiere habilitar aserciones durante la producción; eso depende completamente del proyecto y sus usuarios decidir. El enfoque de este criterio es en cambio mejorar la detección de fallas durante el análisis dinámico antes del despliegue. Habilitar aserciones en el uso de producción es completamente diferente de habilitar aserciones durante el análisis dinámico (como las pruebas). En algunos casos, habilitar aserciones en el uso de producción es extremadamente imprudente (especialmente en componentes de alta integridad). Hay muchos argumentos contra habilitar aserciones en producción, por ejemplo, las bibliotecas no deberían bloquear a los llamadores, su presencia puede causar rechazo por las tiendas de aplicaciones, y/o activar una aserción en producción puede exponer datos privados como claves privadas. Tenga en cuenta que en muchas distribuciones de Linux NDEBUG no está definido, por lo que assert() de C/C++ estará habilitado por defecto para producción en esos entornos. Puede ser importante usar un mecanismo de aserción diferente o definir NDEBUG para producción en esos entornos.

Advertencia: Requiere justificación más extensa.

Estos datos están disponibles bajo el Acuerdo de Licencia de Datos de la Comunidad – Permisivo, Versión 2.0 (CDLA-Permissive-2.0). Esto significa que un Destinatario de Datos puede compartir los Datos, con o sin modificaciones, siempre que el Destinatario de Datos ponga a disposición el texto de este acuerdo con los Datos compartidos. Por favor, acredite a @venelouis y a los colaboradores de la insignia de Mejores Prácticas de OpenSSF.

Entrada de insignia del proyecto propiedad de: @venelouis.
Entrada creada el 2026-06-24 15:16:13 UTC, última actualización el 2026-06-24 15:29:00 UTC. Última obtención de la insignia de nivel básico el 2026-06-24 15:29:00 UTC.

rullst-connect

Fundamentos 0/5 ●

General

Rullst Connect 🦀

🛡️ Quality & Security Audits

✨ Features

📦 Supported Providers

🛠️ Installation

🚀 Quick Start

1. Initialize the Provider

2. Redirect the User

3. Handle the Callback & Get User

🛡️ CSRF Protection (State Parameter)

🔄 Refreshing Tokens

🔒 PKCE Support (v9.0.0+)

🧑‍💻 Full Example with Axum

📦 Releasing a New Version

🤝 Contributing

📄 License

Prerrequisitos

Supervisión del proyecto

Otro

Control de cambios 1/4 ●

Repositorio público para el control de versiones de código fuente

Calidad 0/7 ●

Estándares de codificación

Sistema de construcción funcional

Suite de pruebas automatizadas

Seguridad 0/5 ●

Use buenas prácticas criptográficas

Entrega garantizada contra ataques de hombre en el medio (MITM)

Otros problemas de seguridad

Análisis 0/2 ●

Análisis dinámico de código