当您使用 OAuth 2.0 进行授权时,Google 会向用户显示权限请求页面,其中包括项目摘要信息及其政策和请求的访问授权范围。配置应用的 OAuth 权限请求页面可定义向用户和应用审核者显示的内容,并注册应用以便以后发布。
如需定义授予应用的访问权限级别,您需要确定并声明授权范围。授权范围是 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、它访问的数据类型以及访问权限级别。范围是您的应用请求处理 Google Workspace 数据(包括用户的 Google 账号数据)的请求。
在用户安装您的应用时,系统会要求用户验证该应用使用的范围。通常,您应尽可能选择最窄的范围,并避免请求应用不需要的范围。用户更乐意向描述清晰的有限范围授予访问权限。
使用 OAuth 2.0 的所有应用都需要配置意见征求界面,但您只需为 Google Workspace 组织外部人员使用的应用列出相应范围。
提示:如果您不知道所需的意见征求界面信息,可以在发布前使用占位符信息。
出于安全考虑,您无法在配置 OAuth 2.0 同意页面后将其移除。
配置 OAuth 权限请求
- 在 Google Cloud 控制台中,依次点击“菜单”图标 > > 品牌。
- 如果您已配置 ,则可以在品牌、受众群体和数据访问中配置以下 OAuth 同意屏幕设置。 如果您看到一条消息,其中显示 尚未配置,请点击开始:
- 在应用信息下的应用名称中,输入应用名称。
- 在用户支持电子邮件中,选择一个支持电子邮件地址,以便用户在对其同意问题有疑问时与您联系。
- 点击下一步。
- 在观众下,选择应用的用户类型。
- 点击下一步。
- 在联系信息下,输入一个电子邮件地址,以便您接收有关项目的任何更改的通知。
- 点击下一步。
- 在完成下方,查看 Google API 服务用户数据政策,如果您同意,请选择我同意 Google API 服务:用户数据政策。
- 点击继续。
- 点击创建。
- 如果您选择了外部作为用户类型,请添加测试用户:
- 点击受众群体。
- 在测试用户下,点击添加用户。
- 输入您的电子邮件地址和任何其他已获授权的测试用户,然后点击保存。
如果您要创建的应用将在 Google Workspace 组织之外使用,请依次点击数据访问 > 添加或移除范围。我们建议您在选择镜重时遵循以下最佳实践:
- 选择可为应用提供所需最低访问权限级别的范围。如需查看可用范围的列表,请参阅 Google API 适用的 OAuth 2.0 范围。
- 查看三个部分中列出的范围:非敏感范围、敏感范围和受限范围。对于“您的敏感范围”或“您的受限范围”部分中列出的任何范围,请尝试找出替代性的非敏感范围,以免进行不必要的额外审核。
- 某些镜重需要 Google 进行额外审核。对于仅供 Google Workspace 组织内部使用的应用,权限请求页面上不会列出范围,并且使用受限或敏感范围不需要 Google 进一步审核。如需了解详情,请参阅范围类别。
- 选择应用所需的镜重后,点击保存。
如需详细了解如何配置 OAuth 权限征求,请参阅 使用入门。
范围类别
由于授予的访问权限级别或类型,某些镜重需要满足额外的审核要求。请考虑以下类型的镜重:
| 需要完成基本应用验证 | 需要额外进行应用验证 | 需要进行安全评估 | |||
|---|---|---|---|---|---|
| 非敏感镜重 (推荐) | 仅授予对与特定操作直接相关的有限数据的访问权限。 | — | — | ||
 |
敏感范围 | 授予对个人用户数据、资源或操作的访问权限。 | — | ||
 |
受限范围 | 授予对高度敏感或大量用户数据或操作的访问权限。 |
下一步
为您的应用创建访问凭据。