繁體中文(台灣)
  • Secret Vault
  • 憑證儲存
  • 第三方服務
  • Google

以 OAuth 授權與憑證儲存,安全存取 Google API

學習如何利用 Logto Secret Vault 部署與整合 Google API ,建立智慧生產力應用(如 AI agent),實現安全存取與刷新憑證儲存、增量授權,以及無縫 OIDC/OAuth 2.0 整合。

Ran
Ran
Product & Design

不要在使用者認證上浪費數週時間
使用 Logto 更快地發布安全應用程式。幾分鐘內整合使用者認證,專注於您的核心產品。
立即開始
Product screenshot

在當今緊密連接的數位環境中,能夠輕鬆對接第三方服務的應用程式,能為使用者帶來非凡的體驗。無論你正在打造生產力套件、AI agent 或文件協作平台,安全且便利地存取 Google、GitHub、Facebook 等服務的 API 能讓你的應用從「不錯」蛻變為「不可或缺」。

今天我們將介紹 Logto 的 Secret Vault 與 Social Connector 功能,如何協助你打造能整合 Google API 的智慧生產力應用。我們會示範安全憑證儲存、為 AI 提供存取權的取用憑證、增量授權,以及無縫整合第三方服務等應用。

挑戰:打造智慧行事曆助手

假設你正在開發一套「智慧行事曆助手」,協助用戶智能規劃日程。你的應用需達成下列目標:

  1. 基本驗證:用戶以 Google 帳號登入取得服務權限。
  2. 個人資料管理:顯示用戶的基本個人資料。
  3. 行事曆整合:讀取行事曆事件,提供行程洞察。
  4. 進階功能:建立行事曆事件、透過 Gmail 發送會議邀請與管理 Google Drive 文件,但僅在用戶明確要求高級功能時才啟用。

挑戰是什麼?你需要在不同情境下取得不同層級的 Google API 存取權,且必須安全儲存憑證,以供持續 API 操作,而不需讓用戶頻繁重新驗證。

解決方案:利用 Logto 的增量授權與 Secret Vault

Logto 的方案可優雅達成目標,重點如下:

  • 最低授權範圍起步:初始登入僅請求必要權限。
  • 增量授權:在需求時,為高級功能額外請求權限範圍。
  • 安全憑證儲存:在加密的 Secret Vault 儲存與管理 access/refresh 憑證。
  • 自動憑證刷新:透明處理憑證到期情境。

讓我們一起實作看看。

步驟 1:用基本授權設定 Google 連接器

首先,在 Logto Console 建立並設置 Google 連接器。初次設置時,請配置基本驗證所需的最少授權範圍:

可參考 Google API LibraryOAuth 2.0 權限文件 查詢你應用需要哪些 scope。

關鍵設定步驟:

  1. Google Cloud Console 創建 Google OAuth 用戶端。勾選應用所需的所有 scope。
  2. 以你的用戶端憑證,設定 Logto Google 連接器。於「授權範圍」欄位加入上面列出的最少權限。
  3. 在連接器設置中啟用 持久 API 存取儲存憑證
  4. 設定 Prompts 包含 consent,並啟用 Offline Access,確保可取得 refresh token。

細節可見 Logto 文件:Google 連接器設置說明

此設置讓使用者可以登入並授權你的應用讀取其行事曆事件,這對於提供基本行程洞察相當合適。

步驟 2:實作登入流程

前往 Logto > 登入體驗 > 註冊與登入 頁面。在社交登入區塊加入 Google 連接器,讓用戶可用 Google 身份驗證。

當用戶以 Google 登入時,Logto 將自動:

  • 以配置的 scope 驗證用戶。
  • 將 access 與 refresh token 安全儲存在 Secret Vault。
  • 回傳用戶個人資訊給你的應用。

現在憑證已安全儲存,並與該用戶的 Google 身分綁定,可隨時用於 API 呼叫。

步驟 3:使用已存憑證存取 Google API

如要讀取用戶行事曆事件,取出已儲存的 access token 並呼叫 Google Calendar API:

Logto 會自動處理憑證刷新。如果 access token 到期但 refresh token 存在,Logto 會透明地取得新 access token。

步驟 4:為高級功能進行增量授權

當用戶想要啟用進階功能(如建立行事曆事件或 Gmail 存取),利用 Logto 的 Social Verification API 請求額外 scope:

用戶授權後,完成驗證與更新憑證:

現在你的應用即可用新增權限的 token 建立事件、寄信等高級操作。

步驟 5:管理憑證狀態

Logto Console 提供完整的憑證管理功能。進入 用戶管理 > 選取用戶 > 社交連接 可以看到:

  • 憑證狀態:啟用、過期、未啟用或不適用
  • 憑證中繼資料:建立時間、上次更新、到期日與已授權範圍
  • 連接管理:查看 Google 同步的個人資料資訊

這些資訊幫助管理員掌握用戶連接狀態,並解決任何憑證相關問題。

不只 Google:完整第三方整合能力

你的智慧行事曆助手可延伸整合更多服務。熱門社群連接器含 Google(驗證、行事曆、Gmail 整合)、GitHub(代碼倉庫、issue 管理)、Facebook(社群與行銷洞察)。更多內建連接器將新增憑證儲存支援。

如需自訂整合,Logto 也提供了彈性選項,可用標準 OIDCOAuth 2.0 連接。這個完整的生態系,讓你幾乎能整合任何組織使用的第三方服務。

資安與最佳實踐

Logto 的 Secret Vault 採用企業級資安標準:

  • 逐一秘密加密:每組憑證都用專屬 Data Encryption Key (DEK) 加密
  • 密鑰包裝:DEK 再以 Key Encryption Key (KEK) 加密
  • 最小曝光原則:僅在 API 呼叫時才解密憑證
  • 自動清理:用戶解除綁定或移除連接時,自動刪除憑證

結語

Logto 是對開發者友善的身份驗證平台,提供安全、全面的第三方服務整合能力。

透過增量授權與安全憑證儲存,你的智慧行事曆助手能平衡功能與安全,帶來無縫體驗。用戶只須單一登入,為核心功能申請最小權限。當探索進階功能時,按情境、自然地請求額外授權,實現漸進式功能解鎖。

穩定持久的 API 存取,源自安全儲存的憑證,讓用戶毋需一再重新驗證,專注享受流暢、專業的體驗。這一切以安全為設計根本,善用企業級加密機制,保護用戶憑證與信任。

想自己打造第三方 API 整合嗎?開啟你的旅程:

  1. 設置 Logto:創建 Logto 租戶並 配置你的首個社交連接器
  2. 啟用憑證儲存:在連接器設置中開啟「持久 API 存取儲存憑證」
  3. 實作增量授權:用 Social Verification API 隨需請求額外 scope
  4. 建構與擴展:利用 Logto 完整連接器生態,接入更多提供者

未來的應用開發將走向無縫服務整合。有了 Logto 的 Secret Vault 與 Connectors,你不只做出功能齊全的應用,更能與用戶重要服務深度互聯。

想深入了解?歡迎參考我們的integration guides,立即開始打造你的下一代連網應用。