Accesso sicuro alle API di Google con autorizzazione OAuth e archiviazione dei token

Nell’attuale panorama digitale interconnesso, le applicazioni che possono integrarsi senza sforzi con servizi di terze parti offrono esperienze utente eccezionali. Che tu stia sviluppando una suite per la produttività, un agente AI o una piattaforma di collaborazione documentale, la capacità di accedere in modo sicuro e utilizzare API di servizi come Google, GitHub, Facebook o qualsiasi altro può trasformare la tua app da “buona” a indispensabile.

Oggi vedremo come le funzionalità Secret Vault e Social Connector di Logto ti consentono di costruire un’app intelligente per la produttività integrata con le API di Google. Dimostreremo l’archiviazione sicura dei token, il recupero di access token per un accesso AI, l’autorizzazione incrementale e l’integrazione fluida di servizi di terze parti.

La sfida: sviluppare un assistente intelligente per il calendario#

Immagina di voler creare un “Assistente Intelligente per il Calendario”, un’app che aiuti gli utenti a gestire in modo smart i propri impegni. Ecco cosa deve offrire la tua app:

1. Autenticazione di base: Gli utenti effettuano il login con il proprio account Google per accedere all’app.
2. Gestione del profilo: Mostrare le informazioni di profilo di base dell’utente.
3. Integrazione con il calendario: Leggere gli eventi per fornire analisi sugli impegni.
4. Funzionalità avanzate: Creare eventi, inviare inviti tramite Gmail e gestire documenti su Google Drive, ma solo su richiesta esplicita dell’utente per queste funzionalità premium.

La sfida? Servono diversi livelli di accesso alle API di Google in tempi diversi e bisogna archiviare i token in modo sicuro per permettere operazioni API continue senza chiedere ripetutamente agli utenti di autenticarsi.

Soluzione: autorizzazione incrementale di Logto con Secret Vault#

L’approccio Logto risolve il problema elegantemente tramite:

• Scope iniziali minimi: Richiedere solo i permessi essenziali al login.
• Autorizzazione incrementale: Richiedere ulteriori scope su richiesta per le funzioni premium.
• Archiviazione sicura dei token: Salvare e gestire access/refresh token in Secret Vault crittografato.
• Refresh automatico dei token: Gestire l’espirazione dei token in modo trasparente.

Vediamone l’implementazione passo dopo passo.

Step 1: Configurare il connettore Google con scope di base#

Per prima cosa, crea e configura il tuo connector Google nella Logto Console. Durante la configurazione iniziale, imposta gli scope minimi per l’autenticazione di base:

Consulta la Libreria API di Google e la documentazione sugli scope OAuth 2.0 per trovare ciò di cui hai bisogno.

Configurazione chiave:

1. Crea un client OAuth di Google nella Google Cloud Console. Seleziona tutti gli scope necessari.
2. Configura il connettore Google di Logto inserendo le tue credenziali client. Aggiungi gli scope minimi indicati sopra nel campo Scopes.
3. Abilita Archivia tokens per accesso API persistente nelle impostazioni del connettore.
4. Imposta Prompts includendo consent e abilita Accesso Offline per assicurarti che vengano rilasciati i refresh token.

Leggi i dettagli nella documentazione di Logto sulla configurazione del connettore Google.

Questa configurazione permette agli utenti di autenticarsi e consente alla tua app di leggere gli eventi del loro calendario. Perfetto per una prima panoramica sugli impegni!

Step 2: Implementare il flusso di login#

Vai su Logto > Esperienza di login > Registrazione e accesso. Aggiungi il connettore Google nella sezione di login social così che gli utenti possano autenticarsi con Google.

Quando un utente esegue l’accesso con Google, Logto automaticamente:

• Autentica l’utente con gli scope configurati.
• Archivia in modo sicuro access token e refresh token nel Secret Vault.
• Restituisce le info profilo dell’utente all’app.

I token ora sono archiviati in modo sicuro e associati all’identità Google dell’utente, pronti per essere usati nelle chiamate API.

Step 3: Accesso alle API Google con i token archiviati#

Per leggere gli eventi del calendario, recupera il token e chiama l’API Google Calendar:

Logto gestisce automaticamente il refresh dei token. Se l’access token è scaduto ma esiste un refresh token, Logto otterrà un nuovo access token in modo trasparente.

Step 4: Autorizzazione incrementale per le funzioni premium#

Quando l’utente richiede funzioni premium (come creare eventi o usare Gmail), usa la Social Verification API di Logto per chiedere scope aggiuntivi:

Dopo che l’utente ha accordato i nuovi permessi, completa la verifica e aggiorna i token archiviati:

Ora la tua app potrà creare eventi e inviare email usando il token aggiornato con i nuovi permessi.

Step 5: Gestione dello stato dei token#

La Console Logto offre funzionalità di gestione completa dei token. Vai su Gestione utenti > seleziona un utente > Connessioni social per vedere:

• Stato token: Attivo, scaduto, inattivo o non applicabile
• Metadati token: Orario creazione, ultimo aggiornamento, scadenza e scope concessi
• Gestione connessione: Vedi le info profilo sincronizzate da Google

Questa visibilità aiuta amministratori e sviluppatori a comprendere lo stato delle connessioni e risolvere problemi correlati ai token.

Oltre Google: integrazione con servizi di terze parti#

Puoi estendere il tuo Assistente Calendario per integrarlo con altri servizi oltre Google. Connettori social popolari includono Google per autenticazione, calendario e Gmail, GitHub per repository di codice e gestione issue, e Facebook per funzioni social e marketing. Sono in arrivo ulteriori connettori preimpostati che supporteranno la gestione dei token.

Per integrazioni custom, Logto offre opzioni flessibili tramite connessioni OIDC standard o OAuth 2.0. Questo ecosistema ti permette di collegarti virtualmente a qualsiasi servizio di terze parti usato dalla tua organizzazione.

Sicurezza e best practice#

Il Secret Vault di Logto utilizza sicurezza di livello enterprise:

• Crittografia per ogni secret: Ogni set di token usa una chiave DEK (Data Encryption Key) unica
• Key wrapping: Le DEK sono crittografate con chiavi KEK (Key Encryption Key)
• Esposizione minima: I token vengono decrittati solo quando servono per chiamate API
• Pulizia automatica: I token vengono eliminati quando gli utenti scollegano account o rimuovono i connettori

Conclusione#

Logto è una piattaforma di autenticazione pensata per gli sviluppatori che consente applicazioni sicure con integrazione completa dei servizi di terze parti.

Con l’autorizzazione incrementale e la memorizzazione sicura dei token di Logto, il tuo Smart Calendar Assistant offre un’esperienza fluida bilanciando funzionalità e sicurezza. Gli utenti usufruiscono di un onboarding semplice tramite single sign-on e accettano solo i permessi minimi necessari per le funzioni core. Sperimentando funzionalità avanzate, le richieste per permessi premium arrivano in modo naturale e contestuale.

L’accesso persistente tramite token mantenuti in sicurezza permette operazioni API continue senza interrompere continuamente gli utenti per il login, offrendo un’esperienza professionale fluida. Il sistema è progettato per essere sicuro, basandosi su crittografia di livello enterprise per proteggere le credenziali degli utenti e tutelare la fiducia.

Pronto a creare la tua integrazione API custom? Ecco come iniziare:

1. Configura Logto: Crea il tuo tenant e configura il primo connettore social
2. Abilita l’archiviazione dei token: Attiva la voce "Archivia tokens per accesso API persistente" nelle impostazioni
3. Implementa l’Auth incrementale: Usa la Social Verification API per richiedere scope on-demand
4. Sviluppa e scala: Espandi con altri provider usando l’ecosistema di connettori Logto

Il futuro dello sviluppo applicativo passa per l’integrazione nativa con i servizi. Con Secret Vault e i Connettori Logto, hai gli strumenti per realizzare app non solo funzionali, ma realmente interconnesse ai servizi che i tuoi utenti usano ogni giorno.

Vuoi scoprire di più? Dai un’occhiata alle nostre guide di integrazione e inizia a sviluppare la tua prossima app connessa ora!