当您使用 OAuth 2.0 进行授权时,Google 会向用户显示同意屏幕,其中包括项目摘要、项目政策和请求的访问授权范围。通过配置应用的 OAuth 同意屏幕,可以定义向用户显示的内容和应用审核者,并注册您的应用,以便日后发布应用。
如需定义授予应用的访问权限级别,您需要确定并声明授权范围。授权范围是一个 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、所访问的数据类型和访问权限级别。范围是您的应用对 Google Workspace 数据(包括用户的 Google 账号数据)的处理请求。
安装应用时,系统会要求用户验证应用使用的范围。通常,您应尽可能选择范围最窄的范围,并避免请求应用不需要的范围。用户更容易授予对明确说明的有限范围的访问权限。
所有使用 OAuth 2.0 的应用都需要配置同意屏幕,但您只需列出 Google Workspace 组织外部人员使用的应用的范围。
提示:如果您不知道所需的同意屏幕信息,可以在发布前使用占位信息。
出于安全考虑,配置 OAuth 2.0 同意屏幕后便无法将其移除。
配置 OAuth 权限
- 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > OAuth 同意屏幕。
- 为您的应用选择用户类型,然后点击创建。
- 填写应用注册表单,然后点击保存并继续。
如果您要创建在 Google Workspace 组织外部使用的应用,请点击添加或移除范围。我们建议在选择范围时采用以下最佳做法:
- 选择可提供应用所需的最低访问权限级别的范围。如需查看可用范围的列表,请参阅适用于 Google API 的 OAuth 2.0 范围。
- 查看以下三个部分中列出的范围:非敏感范围、敏感范围和受限范围。对于“您的敏感范围”或“您的受限范围”部分中列出的任何范围,请尝试确定其他非敏感范围,以避免不必要的额外审核。
- 部分范围需要经过 Google 的额外审核。对于仅供 Google Workspace 组织内部使用的应用,范围不会列在同意屏幕上,并且使用受限范围或敏感范围不需要 Google 进一步审核。如需了解详情,请参阅范围类别。
- 选择您的应用所需的范围后,点击保存并继续。
- 如果您选择了外部作为用户类型,请添加测试用户:
- 在测试用户下,点击添加用户。
- 输入您的电子邮件地址和任何其他获得授权的测试用户,然后点击保存并继续。
- 查看您的应用注册摘要。如要进行更改,请点击修改。如果应用注册看起来正常,请点击 Back to Dashboard。
范围类别
某些范围需要额外的审核和要求,具体取决于它们授予的访问权限的级别或类型。请考虑以下类型的范围:
需要进行基本的应用验证 | 需要进行其他应用验证 | 需要进行安全评估 | |||
---|---|---|---|---|---|
非敏感范围 (推荐) | 请仅授予对与具体操作直接相关的有限数据的访问权限。 | — | — | ||
敏感范围 | 授予对个人用户数据、资源或操作的访问权限。 | — | |||
受限范围 | 授予对高度敏感或大量用户数据或操作的访问权限。 |
后续步骤
为您的应用创建访问凭据。