选择 Google 云端硬盘 API 范围

本文档包含 Google Drive API 专属授权和 身份验证信息。在阅读本文档之前,请务必阅读 Google Workspace 的常规身份验证和授权信息,请访问 了解身份验证和授权

配置 OAuth 2.0 以进行授权

配置 OAuth 权限请求页面并选择范围 指定向用户显示哪些信息,以及注册 以便日后发布

云端硬盘 API 范围

要定义向您的应用授予的访问权限级别,您需要确定并 声明授权范围。授权范围是 OAuth 2.0 URI 字符串 包含 Google Workspace 应用名称、应用访问的数据类型,以及 访问权限级别范围是您的应用为处理 Google Workspace 数据而发出的请求,包括 用户的Google 账号数据。

安装应用时,系统会要求用户验证使用的范围 。通常,您应选择范围最狭窄的范围 尽可能避免请求您的应用不需要的范围。用户数更多 随时向有限且明确说明的范围授予访问权限。

我们建议您尽可能使用非敏感范围,因为它按文件授予权限 访问权限范围,并限制对应用所需特定功能的访问权限。

Drive API 支持以下范围:

范围代码 说明 用法
https://www.googleapis.com/auth/drive.appdata
https://www.googleapis.com/auth/drive.appfolder
在您的 Google 云端硬盘中查看和管理应用自身的配置数据。 建议
非敏感
https://www.googleapis.com/auth/drive.install 允许应用在“打开方式”中显示为选项或“新”菜单。 建议
非敏感
https://www.googleapis.com/auth/drive.file 创建新的云端硬盘文件,或修改您通过应用打开或用户在使用 Google Picker API 或该应用的文件选择器时与应用共享的现有文件。 建议
非敏感
https://www.googleapis.com/auth/drive.apps.readonly 查看有权访问您的云端硬盘的应用。 敏感内容
https://www.googleapis.com/auth/drive 查看和管理您的所有云端硬盘文件。 受限
https://www.googleapis.com/auth/drive.readonly 查看和下载您的所有云端硬盘文件。 受限
https://www.googleapis.com/auth/drive.activity 查看云端硬盘文件的活动记录,并将其添加到相应活动记录中。 受限
https://www.googleapis.com/auth/drive.activity.readonly 查看云端硬盘中的文件的活动记录。 受限
https://www.googleapis.com/auth/drive.meet.readonly 查看通过 Google Meet 创建或修改的云端硬盘文件。 受限
https://www.googleapis.com/auth/drive.metadata 查看和管理您的云端硬盘中文件的元数据。 受限
https://www.googleapis.com/auth/drive.metadata.readonly 查看云端硬盘中的文件的元数据。 受限
https://www.googleapis.com/auth/drive.scripts 修改您的 Google Apps 脚本语言行为 受限

上表中的“用量”列指明了每个范围的敏感度 。

  • 推荐 / 非敏感:这些范围提供的是 只需进行基本的应用验证即可授权访问。对于 请参阅验证 要求

  • 推荐范围/敏感范围:这些范围提供对特定 Google 产品/服务的访问权限 用户为您的应用授权的用户数据。您需要 进行额外的应用验证有关此要求的信息 请参阅敏感范围和受限范围 要求

  • 受限:这些范围可广泛访问 Google 用户数据和 要求您完成受限范围内的验证流程。对于 有关此要求的信息,请参阅 Google API 服务用户数据 政策其他要求 适用于特定 API 镜。 如果您将受限范围的数据存储在服务器上(或传输),则必须 进行安全评估

如果您的应用需要访问任何其他 Google API,您可以添加这些范围 。有关 Google API 范围的详细信息,请参阅使用 OAuth 2.0 访问 Google API

有关特定 OAuth 2.0 范围的详细信息,请参阅 OAuth 2.0 Scopes for Google API 中所述。

OAuth 验证

如果使用某些 OAuth 范围,您的应用可能需要通过 OAuth 继续 应用验证帮助中心。 请参阅 OAuth 应用常见问题解答, 确定您的应用应在何时进行验证, 需要验证。另请参阅 Google 云端硬盘条款 服务

何时使用受限范围

对于云端硬盘,只有以下应用类型可以使用 受限范围:

  1. 提供本地同步或自动备份的平台专用应用和 Web 应用 的用户云端硬盘文件。
  2. 界面可能涉及的效率应用和教育应用 与云端硬盘文件(或其元数据或 权限)。效率应用包括任务管理、 学习、工作小组通信和课堂协作应用。
  3. 提供用户或客户数据分析的报告和安全应用 共享或访问文件的方式。

如需继续使用受限范围,您应让您的应用为受限范围做好准备 范围 验证

从受限范围迁移现有应用

如果您开发的云端硬盘应用使用了 范围,我们建议您迁移应用以使用非敏感范围,因为它 授予每个文件的访问权限范围,并缩小 一个应用。许多应用支持按文件访问,没有任何变更。如果您使用的是 我们建议您改用 Google Picker API 支持不同的作用域。

drive.file OAuth 范围的优势

使用 drive.file OAuth 范围和 Google Picker API 优化这两种用户 体验和安全性。

drive.file OAuth 范围可让用户选择想要共享的文件 应用互动情况这样,用户就能更有效地掌控应用 用户的文件访问权限会受到限制,而且更加安全。相比之下,要求宽泛的 访问所有云端硬盘文件可能会妨碍用户与互动 应用互动情况以下是您应该使用 drive.file 的一些原因 范围:

  • 易用性drive.file 范围适用于所有 Drive API REST 资源,这意味着您可以在 方式与使用更广泛的 OAuth 范围相同

  • 功能:Google Picker API 提供与 云端硬盘界面。这包括多个显示预览和 以及一个内联模态窗口 用户永远不会离开主应用。

  • 便利:应用可以对特定云端硬盘应用过滤器 文件类型(如 Google 文档、表格和幻灯片), 使用 Google 选择器中的过滤器 文件

此外,由于 drive.file 是非敏感的,因此可以实现更简洁的 验证流程。

保存刷新令牌

将刷新令牌保存在安全的长期存储空间中,并继续将其用作 只要它们仍然有效即可。