Każdy plik, folder i dysk współdzielony na Dysku Google ma powiązane zasoby permissions
. Każde z tych zasobów identyfikuje uprawnienia dla konkretnego type
(user
, group
, domain
,
anyone
) i role
(owner
, organizer
, fileOrganizer
, writer
,
commenter
, reader
). Przykładowo plik może mieć uprawnienia przyznające konkretnemu użytkownikowi (type=user
) dostęp tylko do odczytu (role=reader
), podczas gdy inne uprawnienia umożliwiają członkom konkretnej grupy (type=group
) dodawanie komentarzy do pliku (role=commenter
).
Pełną listę ról i dozwolonych przez nie operacji znajdziesz w artykule Role i uprawnienia.
Jak działają uprawnienia
Listy uprawnień folderu są propagowane w dół. Wszystkie pliki i foldery podrzędne odziedziczą uprawnienia od folderu nadrzędnego. Gdy zmieniasz uprawnienia lub hierarchię, propagacja odbywa się rekurencyjnie przez wszystkie zagłębione foldery. Jeśli na przykład plik znajduje się w folderze, który następnie zostanie przeniesiony do innego folderu, uprawnienia nowego folderu zostaną przeniesione do pliku. Jeśli nowy folder przyzna użytkownikowi pliku nową rolę, np. „pisarz”, zastąpi ona jego starą rolę.
Jeśli natomiast plik odziedziczy uprawnienia role=writer
z folderu i zostanie przeniesiony do innego folderu, który zapewnia rolę „czytelnika”, plik odziedziczy uprawnienia role=reader
.
Odziedziczonych uprawnień nie można usunąć z pliku ani folderu na dysku współdzielonym. Zamiast tego należy je dostosować w bezpośrednim lub pośrednim elemencie nadrzędnym, z którego zostały odziedziczone. Uprawnienia dziedziczone można usunąć z elementów w sekcji „Mój dysk” lub „Udostępnione dla mnie”.
Z drugiej strony, dziedziczone uprawnienia można zastąpić w przypadku pliku lub folderu w Moje Drive. Jeśli więc plik dziedziczy uprawnienia role=writer
z folderu Moje Dyski, możesz ustawić dla niego uprawnienia role=reader
, aby obniżyć poziom uprawnień.
Możliwości dotyczące plików
Zasoby permissions
nie decydują o tym, czy bieżący użytkownik może wykonywać czynności na pliku lub folderze.
Zamiast tego zasób files
zawiera zbiór pól wartości logicznej capabilities
, które wskazują, czy można wykonać dane działanie na pliku lub folderze. Interfejs Google Drive API ustawia te pola na podstawie zasobu uprawnień bieżącego użytkownika powiązanego z plikiem lub folderem.
Jeśli na przykład Alex zaloguje się w aplikacji i próbuje udostępnić plik, sprawdzamy, czy jego rola ma uprawnienia do tego pliku. Jeśli rola pozwala na udostępnianie pliku, capabilities
powiązane z plikiem, takie jak canShare
, są wypełniane w zależności od roli. Jeśli Alex chce udostępnić plik, aplikacja sprawdza, czy w ustawieniu capabilities
wartość canShare
jest ustawiona na true
.
Przykład wyodrębniania pliku capabilities
znajdziesz w artykule Pobieranie informacji o możliwościach pliku.
Możliwości dotyczące plików
Gdy aplikacja otwiera plik, powinna sprawdzić jego możliwości i wyświetlić interfejs użytkownika w sposób odzwierciedlający uprawnienia bieżącego użytkownika. Jeśli na przykład użytkownik nie ma uprawnień canComment
do pliku, możliwość dodawania komentarzy powinna być wyłączona w interfejsie.
Aby sprawdzić możliwości, wywołaj metodę get()
zasobu files
z parametrem ścieżki fileId
i parametrem fields
ustawionym na pole capabilities
. Więcej informacji o zwracaniu pól za pomocą parametru fields
znajdziesz w artykule Zwracanie określonych pól.
Pokaż przykład
Poniższy przykładowy kod pokazuje, jak sprawdzić uprawnienia użytkownika. Odpowiedź zwraca listę uprawnień użytkownika do pliku. Każda z nich odpowiada szczegółowemu działaniu, które może wykonać użytkownik. Niektóre pola są wypełniane tylko w przypadku elementów na dyskach współdzielonych.
Wyślij prośbę
GET https://www.googleapis.com/drive/v3/files/FILE_ID
?fields=capabilities
Odpowiedź
{ "capabilities": { "canAcceptOwnership": false, "canAddChildren": false, "canAddMyDriveParent": false, "canChangeCopyRequiresWriterPermission": true, "canChangeSecurityUpdateEnabled": false, "canComment": true, "canCopy": true, "canDelete": true, "canDownload": true, "canEdit": true, "canListChildren": false, "canModifyContent": true, "canModifyContentRestriction": true, "canModifyLabels": true, "canMoveChildrenWithinDrive": false, "canMoveItemOutOfDrive": true, "canMoveItemWithinDrive": true, "canReadLabels": true, "canReadRevisions": true, "canRemoveChildren": false, "canRemoveMyDriveParent": true, "canRename": true, "canShare": true, "canTrash": true, "canUntrash": true } }
Scenariusze udostępniania zasobów Dysku
Istnieje 5 różnych scenariuszy udostępniania:
Aby udostępnić plik na Moim dysku, użytkownik musi mieć uprawnienia
role=writer
lubrole=owner
.Jeśli wartość logiczna
writersCanShare
jest ustawiona nafalse
dla pliku, użytkownik musi mieć uprawnieniarole=owner
.Jeśli użytkownik z uprawnieniami
role=writer
ma dostęp tymczasowy, który jest regulowany przez datę i godzinę wygaśnięcia, nie może udostępnić pliku. Więcej informacji znajdziesz w artykule Ustawianie daty wygaśnięcia w celu ograniczenia dostępu do plików.
Aby udostępnić folder na Moim dysku, użytkownik musi mieć uprawnienia
role=writer
lubrole=owner
.Jeśli wartość logiczna
writersCanShare
jest ustawiona nafalse
dla pliku, użytkownik musi mieć bardziej liberalne uprawnieniarole=owner
.Tymczasowy dostęp (określany przez datę i godzinę wygaśnięcia) nie jest dozwolony w folderach na Moim dysku z uprawnieniami
role=writer
. Więcej informacji znajdziesz w artykule Ustawianie daty ważności w celu ograniczenia dostępu do plików.
Aby udostępnić plik na dysku współdzielonym, użytkownik musi mieć uprawnienia
role=writer
,role=fileOrganizer
lubrole=organizer
.- Ustawienie
writersCanShare
nie dotyczy elementów na dyskach współdzielonych. Jest on traktowany tak, jakby zawsze miał wartośćtrue
.
- Ustawienie
Aby udostępnić folder na dysku współdzielonym, użytkownik musi mieć
role=organizer
.- Jeśli ograniczenie
sharingFoldersRequiresOrganizerPermission
na dysku współdzielonym jest ustawione nafalse
, użytkownicy z uprawnieniamirole=fileOrganizer
mogą udostępniać foldery na tym dysku.
- Jeśli ograniczenie
Aby zarządzać członkostwem na dysku współdzielonym, użytkownik musi mieć uprawnienia
role=organizer
. Do dysków współdzielonych mogą należeć tylko użytkownicy i grupy.
Tworzenie uprawnienia
Podczas tworzenia uprawnienia wymagane są 2 pola:
type
:type
określa zakres uprawnień (user
,group
,domain
lubanyone
). Uprawnienia ztype=user
dotyczą konkretnego użytkownika, a uprawnienia ztype=domain
dotyczą wszystkich użytkowników w konkretnej domenie.role
: polerole
określa operacje, które może wykonywać usługatype
. Na przykład uprawnienie ztype=user
irole=reader
przyznaje konkretnemu użytkownikowi dostęp tylko do odczytu do pliku lub folderu. Uprawnienia z opcjątype=domain
irole=commenter
pozwalają wszystkim użytkownikom w domenie dodawać komentarze do pliku. Pełną listę ról i dozwolonych operacji znajdziesz w artykule Role i uprawnienia.
Podczas tworzenia uprawnienia, w którym występuje type=user
lub type=group
, musisz też podać emailAddress
, aby powiązać konkretnego użytkownika lub grupę z uprawnieniem.
Podczas tworzenia uprawnienia, w którym występuje type=domain
, musisz też podać domain
, aby powiązać określone domeny z uprawnieniem.
Aby utworzyć uprawnienie:
- Użyj metody
create()
z parametrem ścieżkifileId
powiązanego pliku lub folderu. - W treści żądania określ
type
irole
. - Jeśli to
type=user
lubtype=group
, podaj wartośćemailAddress
. Jeślitype=domain
, podajdomain
.
Pokaż przykład
Poniższy przykładowy kod pokazuje, jak utworzyć uprawnienie. Odpowiedź zwraca instancję zasobu Permission
, w tym przypisaną wartość permissionId
.
Wyślij prośbę
POST https://www.googleapis.com/drive/v3/files/FILE_ID
/permissions
{ "requests": [ { "type": "user", "role": "commenter", "emailAddress": "alex@altostrat.com" } ] }
Odpowiedź
{
"kind": "drive#permission",
"id": "PERMISSION_ID
",
"type": "user",
"role": "commenter"
}
Korzystanie z list odbiorców
Grupy odbiorców to obejmujące zbiory osób (na przykład działy lub zespoły) grupy, które możesz polecać użytkownikom, tak by ci udostępniali im swoje elementy. Możesz zachęcić użytkowników do udostępniania elementów konkretnym odbiorcom lub ograniczonej ich grupie, a nie całej organizacji. Grupy odbiorców mogą pomóc w zwiększeniu bezpieczeństwa i prywatności danych oraz ułatwić użytkownikom odpowiednie udostępnianie treści. Więcej informacji znajdziesz w artykule Informacje o docelowych grupach odbiorców.
Aby korzystać z list odbiorców:
W konsoli administracyjnej Google kliknij Menu > Katalog > Grupy odbiorców.
Aby wykonać te czynności, musisz zalogować się na konto z uprawnieniami superadministratora.
Na liście Grupy odbiorców kliknij nazwę grupy odbiorców. Aby utworzyć grupę odbiorców, zapoznaj się z artykułem Tworzenie grupy odbiorców.
Skopiuj unikalny identyfikator z adresu URL odbiorców docelowych:
https://admin.google.com/ac/targetaudiences/ID
.Utwórz uprawnienie z wartością
type=domain
i ustaw poledomain
naID.audience.googledomains.com
.
Aby sprawdzić, jak użytkownicy wchodzą w interakcje z docelowymi odbiorcami, zapoznaj się z artykułem Wpływ ustawień na interfejs udostępniania linku przez użytkownika.
Wyświetlanie wszystkich uprawnień
Aby pobrać wszystkie uprawnienia do pliku, folderu lub dysku współdzielonego, użyj metody list()
na zasobie permissions
.
Pokaż przykład
Poniższy przykładowy kod pokazuje, jak uzyskać wszystkie uprawnienia. Odpowiedź zwraca listę uprawnień.
Wyślij prośbę
GET https://www.googleapis.com/drive/v3/files/FILE_ID
/permissions
Odpowiedź
{
"kind": "drive#permissionList",
"permissions": [
{
"id": "PERMISSION_ID
",
"type": "user",
"kind": "drive#permission",
"role": "commenter"
}
]
}
Aktualizuj uprawnienia
Aby zaktualizować uprawnienia dotyczące pliku lub folderu, możesz zmienić przypisaną rolę. Więcej informacji o wyszukiwaniu źródła roli znajdziesz w artykule Określanie źródła roli.
Wywołaj metodę
update()
zasobupermissions
z parametrem ścieżkipermissionId
ustawionym na uprawnienia do zmiany i parametrem ścieżkifileId
ustawionym na powiązany plik, folder lub dysk współdzielony. Aby znaleźćpermissionId
, użyj metodylist()
zasobupermissions
z parametrem ścieżkifileId
.W prośbie podaj nowy
role
.
Możesz przyznać uprawnienia do poszczególnych plików lub folderów na dysku współdzielonym, nawet jeśli użytkownik lub grupa jest już członkiem. Na przykład Alex ma dostęp do folderu role=commenter
w ramach członkostwa na dysku współdzielonym. Twoja aplikacja może jednak przyznać Alexowi rolę role=writer
w przypadku pliku na dysku współdzielonym. W tym przypadku, ponieważ nowa rola jest bardziej liberalna niż rola przyznana na podstawie członkostwa, nowe uprawnienia stają się efektywną rolą dla pliku lub folderu.
Pokaż przykład
Poniższy przykładowy kod pokazuje, jak zmienić uprawnienia pliku lub folderu z „Komentator” na „Autor”. Odpowiedź zwraca instancję zasobu permissions
.
Wyślij prośbę
PATCH https://www.googleapis.com/drive/v3/files/FILE_ID
/permissions/PERMISSION_ID
{ "requests": [ { "role": "writer" } ] }
Odpowiedź
{
"kind": "drive#permission",
"id": "PERMISSION_ID
",
"type": "user",
"role": "writer"
}
Określ źródło roli
Aby zmienić rolę pliku lub folderu, musisz znać źródło tej roli. W przypadku dysków współdzielonych źródło roli może zależeć od członkostwa na dysku współdzielonym, roli w folderze lub roli w pliku.
Aby określić źródło roli dysku współdzielonego lub elementów na tym dysku, wywołaj metodę get()
zasobu permissions
z parametrami ścieżki fileId
i permissionId
oraz parametrem fields
ustawionym na pole permissionDetails
.
Aby znaleźć permissionId
, użyj metody list()
w zasobie permissions
z parametrem ścieżki fileId
. Aby pobrać pole permissionDetails
w żądaniu list
, ustaw parametr fields
na permissions/permissionDetails
.
To pole zawiera wszystkie dziedziczone i bezpośrednie uprawnienia do plików dla użytkownika, grupy lub domeny.
Pokaż przykład
Poniższy przykładowy kod pokazuje, jak określić źródło roli. Odpowiedź zwraca permissionDetails
zasobu permissions
. Pole inheritedFrom
zawiera identyfikator elementu, z którego dziedziczy się uprawnienie.
Wyślij prośbę
GET https://www.googleapis.com/drive/v3/files/FILE_ID
/permissions/PERMISSION_ID
?fields=permissionDetails&supportsAllDrives=true
Odpowiedź
{
"permissionDetails": [
{
"permissionType": "member",
"role": "commenter",
"inheritedFrom": "INHERITED_FROM_ID
",
"inherited": true
},
{
"permissionType": "file",
"role": "writer",
"inherited": false
}
]
}
Aktualizowanie wielu uprawnień za pomocą żądań zbiorczych
Zdecydowanie zalecamy używanie zapytań zbiorczych do modyfikowania wielu uprawnień.
Poniżej znajdziesz przykład zbiorczej modyfikacji uprawnień za pomocą biblioteki klienta.
Java
Python
Node.js
PHP
.NET
Usuwanie uprawnień
Aby cofnąć dostęp do pliku lub folderu, wywołaj metodę delete()
zasobu permissions
z parametrami ścieżki fileId
i permissionId
, aby usunąć uprawnienia.
W przypadku elementów na „Moim dysku” można usunąć dziedziczone uprawnienia. Usunięcie odziedziczonych uprawnień powoduje cofnięcie dostępu do elementu i jego elementów podrzędnych (jeśli takie istnieją).
W przypadku elementów na dysku współdzielonym odziedziczonych uprawnień nie można cofnąć. Zamiast tego zaktualizuj lub usuń uprawnienia w pliku lub folderze nadrzędnym.
Metoda delete()
służy też do usuwania uprawnień zastosowanych bezpośrednio do pliku lub folderu na dysku współdzielonym.
Pokaż przykład
Poniższy przykładowy kod pokazuje, jak cofnąć dostęp przez usunięcie elementu permissionId
. W przypadku powodzenia treść odpowiedzi jest pusta. Aby sprawdzić, czy uprawnienia zostały usunięte, użyj metody list()
zasobu permissions
z parametrem ścieżki fileId
.
Wyślij prośbę
DELETE https://www.googleapis.com/drive/v3/files/FILE_ID
/permissions/PERMISSION_ID
Ustawianie daty wygaśnięcia w celu ograniczenia dostępu do plików
Jeśli współpracujesz z innymi osobami przy projekcie zawierającym dane poufne, możesz ograniczyć ich dostęp do wybranych plików na Dysku po upływie określonego czasu. W przypadku plików na Moim dysku możesz ustawić datę ważności, aby ograniczyć lub uniemożliwić dostęp do pliku.
Aby ustawić datę ważności:
Użyj metody
create()
zasobupermissions
i ustaw poleexpirationTime
(oraz inne wymagane pola). Więcej informacji znajdziesz w artykule Tworzenie uprawnień.Użyj metody
update()
w zasobiepermissions
i ustaw poleexpirationTime
(oraz inne wymagane pola). Więcej informacji znajdziesz w sekcji Uprawnienia dotyczące aktualizacji.
Pole expirationTime
określa, kiedy uprawnienia wygasną, zgodnie ze standardem RFC 3339 dotyczącym formatu daty i godziny. Czasy ważności mają te ograniczenia:
- Można je ustawić tylko w przypadku uprawnień użytkowników i grup.
- Czas musi być w przyszłości.
- Czas nie może być oddalony o więcej niż rok.
Więcej informacji o dacie wygaśnięcia znajdziesz w tych artykułach:
Powiązane artykuły
- Zarządzanie oczekującymi propozycjami dostępu
- Przenoszenie własności pliku
- Ochrona treści pliku
- Uzyskiwanie dostępu do plików na dysku współdzielonym udostępnionym za pomocą linku za pomocą kluczy zasobów
- Role i uprawnienia