外部認証導線
必要に応じて外部サービスへの接続、認可、トークン更新を扱います。
外部認証導線は、外部サービスのアカウント接続、認可画面への遷移、callback後の接続状態保存、期限切れ前のトークン更新を、業務画面や公開ページの流れに組み込むための機能です。Roundtableでは「誰がどのサービスを接続するか」「認可後に何を保存するか」「失効時にどう止めるか」を先にそろえると、発注者、実装者、AIに指示する人が同じ前提で連携範囲を決められます。
この機能でできること
外部サービスの認可URLへ利用者を送り、callbackで返ってきた認可コードを処理して、接続状態、外部アカウントID、有効期限、更新可否を保存できます。接続済みのサービスは業務処理や公開ページから利用し、期限切れや権限不足が起きた場合は、再接続、更新、連携停止の導線へ分けられます。
外部サービス接続を、業務の一部として扱えるようにします。
認可画面へのブラウザ遷移、callback処理、保存済み接続の利用、トークン更新、失効時の再接続案内を分けて設計すると、決済、予約、会員、会計、通知などの連携が運用しやすくなります。
よくある利用場面
店舗や出店者ごとに外部サービスを接続する
決済、予約、会計、配送などの外部アカウントを店舗単位で認可し、公開側の処理先を切り替えます。
会員が自分の外部アカウントを連携する
プロフィール、カレンダー、通知、ファイル保存など、利用者本人の認可が必要なサービスとつなぎます。
期限切れや権限不足を運用画面で確認する
トークン更新失敗、権限変更、接続解除を管理側に表示し、再接続や利用停止の判断につなげます。
プロンプト例
接続する外部サービス、接続主体、認可開始画面、callback後に保存する項目、トークン更新のタイミング、失敗時の表示をまとめて伝えると、画面導線とサーバー側処理を分けて設計しやすくなります。
プロンプト
店舗ごとに外部予約サービスへ接続する外部認証導線を追加してください。管理側の店舗詳細に「接続する」「再接続する」「接続解除」を表示し、認可開始ではstateに店舗IDと用途を安全に持たせて外部認可画面へ遷移してください。callbackでは認可コードを検証し、外部アカウントID、接続状態、有効期限、更新可否、最終更新日時を保存してください。公開予約ページでは接続済み店舗だけ外部予約APIを使い、未接続や期限切れの場合は予約前に分かるメッセージを表示してください。APIキー、client secret、実URLなどの環境依存値はテンプレートやdocsに固定しないでください。
この機能を使うときのポイント
接続主体を決めるアプリ全体、店舗、担当者、会員、プロジェクトなど、誰の外部アカウントとして認可するかを先に決めます。
認可後に使う範囲を絞る予約作成、決済、ファイル保存、通知送信など、認可後に実行する操作と必要な権限を明確にします。
失効時の業務停止を設計する再接続が必要な状態で公開処理を続けるか、事前に止めるか、代替手入力にするかを決めます。
秘密情報を画面に出さないclient secret、refresh token、署名用の値は表示せず、画面には接続状態、期限、外部アカウント名など運用に必要な情報だけを出します。
この機能を実装するときのコツ
実装では、認可開始、callback、接続状態表示、トークン更新、接続解除を別の責務として分けます。認可開始時は対象レコードと用途を検証し、callbackではstateを確認してから外部サービスの応答を保存します。トークンは表示用データと分離して保管し、期限が近い場合はサーバー側処理で更新してから外部APIを呼びます。公開ページで使う場合は、接続済みかどうかを公開処理の前に確認し、未接続、期限切れ、権限不足、更新失敗を利用者向けメッセージと管理側ログに分けて残すと、問い合わせ時に原因を追いやすくなります。
