本文档包含特定于 Google Drive API 的授权和身份验证信息。在阅读本文档之前,请务必阅读了解身份验证和授权中的 Google Workspace 常规身份验证和授权信息。
配置 OAuth 2.0 以进行授权
配置 OAuth 同意屏幕并选择范围以定义要向用户显示的信息和应用审核者,并注册您的应用以便日后发布。
云端硬盘 API 范围
如需定义向您的应用授予的访问权限级别,您需要标识并声明授权范围。授权范围是一个 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、应用访问的数据类型和访问权限级别。范围是您的应用为处理 Google Workspace 数据(包括用户的 Google 账号数据)而发出的请求。
安装应用时,系统会要求用户验证应用使用的范围。通常,您应该尽可能选择聚焦范围最小的范围,并避免请求您的应用不需要的范围。用户更乐意授予对有限且明确说明范围的访问权限。
我们建议您尽可能使用非敏感范围,因为它可以按文件授予访问权限范围,并缩小对应用所需特定功能的访问权限。
Drive API 支持以下范围:
| 范围代码 | 说明 | 用量 |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
在您的 Google 云端硬盘中查看和管理应用自身的配置数据。 | 建议 非敏感 |
https://www.googleapis.com/auth/drive.install |
允许应用在“打开方式”或“新建”菜单中作为选项显示。 | 建议 非敏感 |
https://www.googleapis.com/auth/drive.file |
创建新的云端硬盘文件,或修改您通过应用打开或用户在使用 Google Picker API 或该应用的文件选择器时与应用共享的现有文件。 | 建议 非敏感 |
https://www.googleapis.com/auth/drive.apps.readonly |
查看有权访问您的云端硬盘的应用。 | 敏感内容 |
https://www.googleapis.com/auth/drive |
查看和管理您的所有云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.readonly |
查看和下载您的所有云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.activity |
查看云端硬盘文件的活动记录,并将其添加到相应活动记录中。 | 受限 |
https://www.googleapis.com/auth/drive.activity.readonly |
查看云端硬盘中的文件的活动记录。 | 受限 |
https://www.googleapis.com/auth/drive.meet.readonly |
查看通过 Google Meet 创建或修改的云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.metadata |
查看和管理您的云端硬盘中文件的元数据。 | 受限 |
https://www.googleapis.com/auth/drive.metadata.readonly |
查看云端硬盘中的文件的元数据。 | 受限 |
https://www.googleapis.com/auth/drive.scripts |
修改 Google Apps 脚本的脚本行为。 | 受限 |
根据以下定义,上表中的“用量”列表示每个范围的敏感度:
推荐范围 / 非敏感范围:这些范围提供的授权访问范围最小,只需要基本的应用验证。如需了解此要求,请参阅验证要求。
推荐 / 敏感:这些范围提供对用户为您的应用授权的特定 Google 用户数据的访问权限。您需要完成额外的应用验证。如需了解此要求,请参阅敏感范围和受限范围要求。
受限:这些范围提供对 Google 用户数据的广泛访问权限,并要求您完成受限范围的验证流程。如需了解此要求,请参阅 Google API 服务用户数据政策和针对特定 API 范围的其他要求。 如果您将受限范围数据存储在服务器上(或传输),则必须接受安全评估。
如果您的应用需要访问任何其他 Google API,您也可以添加这些范围。如需详细了解 Google API 范围,请参阅使用 OAuth 2.0 访问 Google API。
如需详细了解特定 OAuth 2.0 范围,请参阅 Google API 的 OAuth 2.0 范围。
OAuth 验证
使用某些 OAuth 范围可能需要您的应用通过 OAuth 应用验证帮助中心继续操作。请参阅 OAuth 应用常见问题解答,确定您的应用应在何时进行验证以及需要进行哪种类型的验证。另请参阅 Google 云端硬盘服务条款。
何时使用受限范围
对于云端硬盘,只有以下应用类型可以访问受限范围:
- 平台专用应用和 Web 应用,可提供本地同步或自动备份用户的云端硬盘文件。
- 效率和教育应用:其界面可能涉及与云端硬盘文件(或其元数据或权限)互动。效率应用包括任务管理、记事、工作组通信和课堂协作应用。
- 可让用户或客户了解文件的共享或访问方式的报告和安全应用。
如需继续使用受限范围,您应为应用做好验证受限范围的准备。
从受限范围迁移现有应用
如果您开发了使用任何受限范围的云端硬盘应用,我们建议您迁移应用以使用非敏感范围,因为它可授予按文件访问的访问权限范围,并缩小应用所需特定功能的访问权限。许多应用都支持按文件访问的权限而不进行任何更改。如果您使用的是自己的文件选择器,我们建议您改用完全支持不同范围的 Google Picker API。
drive.file OAuth 范围的优势
使用 drive.file OAuth 范围和 Google Picker API 可优化应用的用户体验和安全性。
drive.file OAuth 范围可让用户选择想要与您的应用共享的文件。这使用户能够更好地控制并确信您的应用对其文件的访问权限会受限且更安全。相比之下,需要对所有云端硬盘文件的广泛访问权限会打消用户与您的应用互动的积极性。您应该使用 drive.file 作用域的一些原因如下:
易用性:
drive.file范围适用于所有 Drive API REST 资源,这意味着您可以像使用更广泛的 OAuth 范围那样使用它。功能:Google Picker API 提供与云端硬盘界面类似的接口。其中包括多个显示云端硬盘文件预览和缩略图的视图,以及一个让用户永远不会离开主应用的内嵌模态窗口。
便利:使用 Google 选择器文件上的过滤器时,应用可以对某些云端硬盘文件类型(例如 Google 文档、表格和照片)应用过滤器。
此外,由于 drive.file 是非敏感数据,因此可以简化验证流程。
保存刷新令牌
将刷新令牌保存在安全的长期存储空间中,只要它们仍然有效,您就可以继续使用。