OAuth flow
OAuth flow 係一種安全嘅授權機制,用嚟讓應用程式代表用戶訪問受保護嘅資源,而毋需直接分享密碼。
主要特點
- 安全認証:用戶唔需要將密碼直接提供畀應用程式,而係透過授權伺服器進行認証
- Token-based:系統使用 Bearer token 作為訪問憑證,而唔係長期密碼
- 自動更新機制:Token 可以設置自動刷新(如每 25 分鐘自動更新),毋需人手干預
- 多種流程類型:
- Web App OAuth flow(適用於網頁應用程式)
- Custom Connection(某啲地區可能唔支援)
實戰例子
根據 2026-03-29 嘅實踐,Xero MCP 設定採用咗 Web App OAuth flow:
- 選擇 Web App 流程(因為香港唔支援 Custom Connection)
- 使用 Bearer token mode 搭配自動刷新 cron(每 25 分鐘)
- 成功授權 Remarkable Marketing Limited 租户(b191344a)
- 驗証可存取 2 個 contacts、1 張 invoice、1 個銀行帳户
優勢
- 提高安全性,減少密碼外洩風險
- 用戶可隨時撤銷授權
- 自動化流程減少人手操作