Zabezpiecz dostęp do Google API za pomocą autoryzacji OAuth i przechowywania tokenów

We współczesnym, połączonym cyfrowo świecie, aplikacje, które mogą bezproblemowo integrować się z usługami stron trzecich, zapewniają wyjątkowe doświadczenia użytkownika. Niezależnie od tego, czy tworzysz pakiet narzędzi zwiększających produktywność, agenta AI czy platformę do współpracy nad dokumentami, możliwość bezpiecznego dostępu do API takich usług jak Google, GitHub, Facebook lub innych może przekształcić twoją aplikację z dobrej w absolutnie niezbędną.

Dziś pokażemy, jak możliwości Logto Secret Vault oraz Social Connector pozwalają ci zbudować inteligentną aplikację zwiększającą produktywność, integrującą się z Google API. Pokażemy bezpieczne przechowywanie tokenów, pobieranie tokenów dostępu dla AI, progresywne autoryzacje oraz płynną integrację z usługami zewnętrznymi.

Wyzwanie: Budowa inteligentnego asystenta kalendarza#

Wyobraź sobie, że rozwijasz "Inteligentnego Asystenta Kalendarza" – aplikację, która pomaga użytkownikom inteligentnie zarządzać ich harmonogramem. Oto co Twoja aplikacja powinna zrobić:

1. Podstawowa autoryzacja: Użytkownicy logują się przez swoje konto Google, aby uzyskać dostęp do aplikacji.
2. Zarządzanie profilem: Wyświetl podstawowe informacje o profilu użytkownika.
3. Integracja kalendarza: Odczytuj wydarzenia z kalendarza, aby dostarczać spostrzeżenia dotyczące harmonogramu.
4. Funkcje zaawansowane: Twórz wydarzenia w kalendarzu, wysyłaj zaproszenia na spotkania przez Gmail oraz zarządzaj dokumentami na Dysku Google – ale tylko gdy użytkownik wyraźnie poprosi o te funkcje premium.

Gdzie tkwi trudność? Potrzebujesz różnych poziomów dostępu do Google API w różnych momentach oraz musisz bezpiecznie przechowywać tokeny dla nieprzerwanych operacji API, nie zmuszając użytkowników do ciągłego ponownego uwierzytelniania.

Rozwiązanie: Progresywne autoryzacje Logto z Secret Vault#

Podejście Logto rozwiązuje to elegancko poprzez:

• Minimalne uprawnienia początkowe: Żądaj tylko niezbędnych uprawnień podczas logowania.
• Progresywne autoryzacje: Proś o dodatkowe uprawnienia na żądanie dla funkcji premium.
• Bezpieczne przechowywanie tokenów: Przechowuj i zarządzaj tokenami dostępu/odświeżania w szyfrowanym Secret Vault.
• Automatyczne odświeżanie tokenów: Obsługa wygaśnięcia tokenów w sposób przezroczysty.

Przejdźmy do wdrożenia.

Krok 1: Konfiguracja connectora Google z podstawowymi uprawnieniami#

Najpierw utwórz i skonfiguruj connector Google w Logto Console. Wstępnie ustaw minimalne zakresy uprawnień dla podstawowej autoryzacji:

Sprawdź Bibliotekę Google API oraz dokumentację OAuth 2.0 scopes, aby znaleźć potrzebne zakresy uprawnień.

Kluczowe kroki konfiguracji:

1. Utwórz klienta Google OAuth w Google Cloud Console. Zaznacz wszystkie wymagane zakresy dla swojej aplikacji.
2. Skonfiguruj connector Google Logto dodając swoje dane klienta. Dodaj powyższe minimalne zakresy w polu Scopes.
3. Włącz Przechowuj tokeny dla stałego dostępu do API w ustawieniach connectora.
4. Ustaw Prompts na consent i włącz Offline Access, aby otrzymać tokeny odświeżania.

Szczegóły znajdziesz w dokumentacji Logto, rozdział Konfiguracja connectora Google.

Ta konfiguracja pozwala użytkownikom logować się i daje aplikacji uprawnienia do odczytu wydarzeń z kalendarza – idealne do podstawowych analiz harmonogramu.

Krok 2: Implementacja procesu logowania#

Przejdź do Logto > Doświadczenie logowania > Rejestracja i logowanie. Dodaj connector Google w sekcji logowania społecznościowego, by umożliwić uwierzytelnianie przez Google.

Gdy użytkownik zaloguje się przez Google, Logto automatycznie:

• Uwierzytelnia użytkownika z wybranymi zakresami uprawnień.
• Bezpiecznie przechowuje tokeny dostępu i odświeżania w Secret Vault.
• Przekazuje informację o profilu użytkownika do aplikacji.

Tokeny są już bezpiecznie powiązane z tożsamością Google użytkownika, gotowe do użycia w API.

Krok 3: Dostęp do Google API z przechowywanymi tokenami#

Aby odczytać wydarzenia z kalendarza użytkownika, pobierz przechowywany token i wywołaj Google Calendar API:

Logto obsługuje odświeżanie tokenów automatycznie. Jeśli token dostępu wygasł, ale istnieje refresh token, Logto pobierze nowy token przejrzyście.

Krok 4: Progresywna autoryzacja dla funkcji premium#

Gdy użytkownik chce zyskać dostęp do funkcji premium (np. tworzenie wydarzeń, wysyłanie e-mail przez Gmail), użyj Logto Social Verification API, aby poprosić o dodatkowe uprawnienia:

Po udzieleniu przez użytkownika dodatkowych uprawnień, ukończ weryfikację i zaktualizuj przechowywane tokeny:

Teraz Twoja aplikacja może tworzyć wydarzenia i wysyłać e-maile, korzystając z poszerzonego tokena o nowe uprawnienia.

Krok 5: Zarządzanie statusem tokenów#

Logto Console udostępnia rozbudowane opcje zarządzania tokenami. Przejdź do Zarządzanie użytkownikami > wybierz użytkownika > Połączenia społecznościowe, aby zobaczyć:

• Status tokena: Aktywny, Wygasły, Nieaktywny, lub Nie dotyczy
• Metadane tokena: Data utworzenia, ostatnia aktualizacja, wygaśnięcie oraz nadane zakresy uprawnień
• Zarządzanie połączeniem: Przeglądaj informację o profilu zsynchronizowanym z Google

Ta widoczność ułatwia administratorom zrozumienie stanu połączeń użytkownika i rozwiązywanie problemów z tokenami.

Poza Google: Kompleksowa integracja zewnętrzna#

Możesz rozbudować Swojego Inteligentnego Asystenta Kalendarza o integrację z wieloma innymi usługami. Popularne social connectory to Google dla uwierzytelniania, kalendarza i Gmail, GitHub do repozytoriów kodu i zarządzania zgłoszeniami oraz Facebook dla funkcji społecznościowych i analityki marketingowej. Wkrótce pojawią się kolejne predefiniowane connectory wspierające przechowywanie tokenów.

Dla integracji niestandardowych Logto oferuje elastyczne opcje poprzez standardowy OIDC lub OAuth 2.0. To wszechstronne środowisko pozwala łączyć się praktycznie z dowolnym serwisem zewnętrznym używanym przez Twoją organizację.

Bezpieczeństwo i dobre praktyki#

Logto Secret Vault wykorzystuje poziom bezpieczeństwa klasy korporacyjnej:

• Szyfrowanie per-sekret: Każdy zestaw tokenów używa unikalnego klucza DEK
• Key wrapping: DEK szyfrowane są kluczami KEK
• Minimalna ekspozycja: Tokeny są deszyfrowane tylko gdy to konieczne dla wywołań API
• Automatyczne czyszczenie: Tokeny są usuwane kiedy użytkownik rozłączy konto lub connector zostaje usunięty

Podsumowanie#

Logto to platforma autoryzacyjna przyjazna deweloperom, umożliwiająca budowanie bezpiecznych aplikacji z kompleksową integracją usług zewnętrznych.

Dzięki progresywnym autoryzacjom i bezpiecznemu przechowywaniu tokenów, Twój Inteligentny Asystent Kalendarza zapewnia płynne doświadczenia – równoważąc funkcjonalność z bezpieczeństwem. Użytkownicy cieszą się szybkim startem dzięki pojedynczemu logowaniu, z minimalnym zakresem uprawnień do podstawowych funkcji. W miarę korzystania z rozbudowanych możliwości, kolejne uprawnienia są żądane w kontekście nowych funkcji premium.

Stały dostęp przez bezpiecznie przechowywane tokeny pozwala na ciągłe operacje API bez ciągłego przerywania użytkownika prośbą o powtórną autoryzację, zapewniając profesjonalne, płynne doświadczenie. Całość oparta jest na zasadzie bezpieczeństwa od podstaw z wykorzystaniem szyfrowania klasy korporacyjnej, chroniącego dane użytkowników i budującego zaufanie.

Gotowy, aby zbudować własną integrację API stron trzecich? Zacznij od:

1. Stwórz Logto: Utwórz swojego tenant’a w Logto i skonfiguruj pierwszy social connector
2. Włącz przechowywanie tokenów: Włącz "Przechowuj tokeny dla stałego dostępu do API" w ustawieniach connectora
3. Implementuj progresywną autoryzację: Skorzystaj z Social Verification API do żądania uprawnień na żądanie
4. Buduj i skaluj: Dodawaj kolejnych dostawców poprzez ekosystem connectorów Logto

Przyszłość rozwoju aplikacji to płynna integracja usług. Z Secret Vault i Connectorami Logto masz narzędzia, by budować aplikacje nie tylko funkcjonalne, ale naprawdę powiązane z usługami, które użytkownicy wykorzystują na co dzień.

Chcesz dowiedzieć się więcej? Zobacz nasze poradniki integracyjne i zbuduj swoją kolejną połączoną aplikację już dziś.