以 OAuth 授權與憑證儲存，安全存取 Google API

在當今緊密連接的數位環境中，能夠輕鬆對接第三方服務的應用程式，能為使用者帶來非凡的體驗。無論你正在打造生產力套件、AI agent 或文件協作平台，安全且便利地存取 Google、GitHub、Facebook 等服務的 API 能讓你的應用從「不錯」蛻變為「不可或缺」。

今天我們將介紹 Logto 的 Secret Vault 與 Social Connector 功能，如何協助你打造能整合 Google API 的智慧生產力應用。我們會示範安全憑證儲存、為 AI 提供存取權的取用憑證、增量授權，以及無縫整合第三方服務等應用。

挑戰：打造智慧行事曆助手#

假設你正在開發一套「智慧行事曆助手」，協助用戶智能規劃日程。你的應用需達成下列目標：

1. 基本驗證：用戶以 Google 帳號登入取得服務權限。
2. 個人資料管理：顯示用戶的基本個人資料。
3. 行事曆整合：讀取行事曆事件，提供行程洞察。
4. 進階功能：建立行事曆事件、透過 Gmail 發送會議邀請與管理 Google Drive 文件，但僅在用戶明確要求高級功能時才啟用。

挑戰是什麼？你需要在不同情境下取得不同層級的 Google API 存取權，且必須安全儲存憑證，以供持續 API 操作，而不需讓用戶頻繁重新驗證。

解決方案：利用 Logto 的增量授權與 Secret Vault#

Logto 的方案可優雅達成目標，重點如下：

• 最低授權範圍起步：初始登入僅請求必要權限。
• 增量授權：在需求時，為高級功能額外請求權限範圍。
• 安全憑證儲存：在加密的 Secret Vault 儲存與管理 access/refresh 憑證。
• 自動憑證刷新：透明處理憑證到期情境。

讓我們一起實作看看。

步驟 1：用基本授權設定 Google 連接器#

首先，在 Logto Console 建立並設置 Google 連接器。初次設置時，請配置基本驗證所需的最少授權範圍：

可參考 Google API Library 及 OAuth 2.0 權限文件 查詢你應用需要哪些 scope。

關鍵設定步驟：

1. 在 Google Cloud Console 創建 Google OAuth 用戶端。勾選應用所需的所有 scope。
2. 以你的用戶端憑證，設定 Logto Google 連接器。於「授權範圍」欄位加入上面列出的最少權限。
3. 在連接器設置中啟用 持久 API 存取儲存憑證。
4. 設定 Prompts 包含 consent，並啟用 Offline Access，確保可取得 refresh token。

細節可見 Logto 文件：Google 連接器設置說明。

此設置讓使用者可以登入並授權你的應用讀取其行事曆事件，這對於提供基本行程洞察相當合適。

步驟 2：實作登入流程#

前往 Logto > 登入體驗 > 註冊與登入 頁面。在社交登入區塊加入 Google 連接器，讓用戶可用 Google 身份驗證。

當用戶以 Google 登入時，Logto 將自動：

• 以配置的 scope 驗證用戶。
• 將 access 與 refresh token 安全儲存在 Secret Vault。
• 回傳用戶個人資訊給你的應用。

現在憑證已安全儲存，並與該用戶的 Google 身分綁定，可隨時用於 API 呼叫。

步驟 3：使用已存憑證存取 Google API#

如要讀取用戶行事曆事件，取出已儲存的 access token 並呼叫 Google Calendar API：

Logto 會自動處理憑證刷新。如果 access token 到期但 refresh token 存在，Logto 會透明地取得新 access token。

步驟 4：為高級功能進行增量授權#

當用戶想要啟用進階功能（如建立行事曆事件或 Gmail 存取），利用 Logto 的 Social Verification API 請求額外 scope：

用戶授權後，完成驗證與更新憑證：

現在你的應用即可用新增權限的 token 建立事件、寄信等高級操作。

步驟 5：管理憑證狀態#

Logto Console 提供完整的憑證管理功能。進入 用戶管理 > 選取用戶 > 社交連接 可以看到：

• 憑證狀態：啟用、過期、未啟用或不適用
• 憑證中繼資料：建立時間、上次更新、到期日與已授權範圍
• 連接管理：查看 Google 同步的個人資料資訊

這些資訊幫助管理員掌握用戶連接狀態，並解決任何憑證相關問題。

不只 Google：完整第三方整合能力#

你的智慧行事曆助手可延伸整合更多服務。熱門社群連接器含 Google（驗證、行事曆、Gmail 整合）、GitHub（代碼倉庫、issue 管理）、Facebook（社群與行銷洞察）。更多內建連接器將新增憑證儲存支援。

如需自訂整合，Logto 也提供了彈性選項，可用標準 OIDC 或 OAuth 2.0 連接。這個完整的生態系，讓你幾乎能整合任何組織使用的第三方服務。

資安與最佳實踐#

Logto 的 Secret Vault 採用企業級資安標準：

• 逐一秘密加密：每組憑證都用專屬 Data Encryption Key (DEK) 加密
• 密鑰包裝：DEK 再以 Key Encryption Key (KEK) 加密
• 最小曝光原則：僅在 API 呼叫時才解密憑證
• 自動清理：用戶解除綁定或移除連接時，自動刪除憑證

結語#

Logto 是對開發者友善的身份驗證平台，提供安全、全面的第三方服務整合能力。

透過增量授權與安全憑證儲存，你的智慧行事曆助手能平衡功能與安全，帶來無縫體驗。用戶只須單一登入，為核心功能申請最小權限。當探索進階功能時，按情境、自然地請求額外授權，實現漸進式功能解鎖。

穩定持久的 API 存取，源自安全儲存的憑證，讓用戶毋需一再重新驗證，專注享受流暢、專業的體驗。這一切以安全為設計根本，善用企業級加密機制，保護用戶憑證與信任。

想自己打造第三方 API 整合嗎？開啟你的旅程：

1. 設置 Logto：創建 Logto 租戶並 配置你的首個社交連接器
2. 啟用憑證儲存：在連接器設置中開啟「持久 API 存取儲存憑證」
3. 實作增量授權：用 Social Verification API 隨需請求額外 scope
4. 建構與擴展：利用 Logto 完整連接器生態，接入更多提供者

未來的應用開發將走向無縫服務整合。有了 Logto 的 Secret Vault 與 Connectors，你不只做出功能齊全的應用，更能與用戶重要服務深度互聯。

想深入了解？歡迎參考我們的integration guides，立即開始打造你的下一代連網應用。