Ten dokument zawiera informacje dotyczące autoryzacji i uwierzytelniania dotyczące interfejsu Google Drive API. Zanim przeczytasz ten dokument, zapoznaj się z ogólnymi informacjami na temat uwierzytelniania i autoryzacji w Google Workspace dostępnymi w artykule Więcej informacji o uwierzytelnianiu i autoryzacji.
Konfigurowanie protokołu OAuth 2.0 na potrzeby autoryzacji
Skonfiguruj ekran zgody OAuth i wybierz zakresy, aby określić, jakie informacje będą widoczne dla użytkowników i weryfikatorów aplikacji, oraz zarejestrować aplikację, aby móc ją później opublikować.
Zakresy interfejsów API Dysku
Aby określić poziom dostępu przyznany aplikacji, musisz określić i zadeklarować zakresy autoryzacji. Zakres autoryzacji to ciąg identyfikatora URI OAuth 2.0, który zawiera nazwę aplikacji Google Workspace, rodzaj danych, do których uzyskuje ona dostęp, oraz poziom dostępu. Zakresy to żądania aplikacji dotyczące pracy z danymi Google Workspace, w tym danymi kont Google użytkowników.
Po zainstalowaniu aplikacji użytkownik jest proszony o sprawdzenie zakresów używanych przez aplikację. Najlepiej jest wybrać najwęższy możliwy zakres i nie żądać zakresów, których aplikacja nie wymaga. Użytkownicy mogą łatwiej przyznawać dostęp do ograniczonych, jasno opisanych zakresów.
W miarę możliwości zalecamy używanie zakresów niewrażliwych, ponieważ przydzielają one zakres dostępu dla poszczególnych plików i zawężają dostęp do określonych funkcji potrzebnych aplikacji.
Interfejs Drive API obsługuje te zakresy:
Kod zakresu | Opis | Wykorzystanie |
---|---|---|
https://www.googleapis.com/auth/drive.appdata |
Wyświetlanie danych konfiguracyjnych aplikacji na Dysku Google i zarządzanie nimi. | Zalecane Bez kategorii o charakterze kontrowersyjnym |
https://www.googleapis.com/auth/drive.install |
Zezwalaj na wyświetlanie aplikacji jako opcji w menu „Otwórz w” lub „Nowy”. | Zalecane Bez kategorii o charakterze kontrowersyjnym |
https://www.googleapis.com/auth/drive.file |
tworzyć nowe pliki na Dysku i modyfikować istniejące, które otwierasz w aplikacji lub użytkownik udostępnia aplikacji przy użyciu interfejsu Google Picker API lub selektora plików w aplikacji; | Zalecane Bez kategorii o charakterze kontrowersyjnym |
https://www.googleapis.com/auth/drive.apps.readonly |
Wyświetl aplikacje mające dostęp do Dysku. | Poufne |
https://www.googleapis.com/auth/drive |
Wyświetlaj wszystkie pliki na Dysku i zarządzaj nimi. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.readonly |
Wyświetl i pobierz wszystkie pliki na Dysku. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.activity | Wyświetlanie i uzupełnianie rejestru działań na plikach na Dysku. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.activity.readonly | Wyświetlanie rejestru działań na plikach na Dysku. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.metadata |
Wyświetlanie metadanych plików na Dysku i zarządzanie nimi. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.metadata.readonly |
Wyświetlanie metadanych plików na Dysku. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.scripts |
Zmień zachowanie skryptów Google Apps Script. | Z ograniczeniem |
Kolumna „Użycie” w powyższej tabeli wskazuje poufność każdego zakresu zgodnie z tymi definicjami:
Zalecane / niewrażliwe: te zakresy zapewniają najmniejszy zakres uprawnień do autoryzacji i wymagają tylko podstawowej weryfikacji aplikacji. Więcej informacji o tym wymaganiu znajdziesz w sekcji Wymagania weryfikacyjne.
Zalecane / poufne: te zakresy zapewniają dostęp do konkretnych danych użytkownika Google autoryzowanych przez użytkownika na potrzeby Twojej aplikacji. Wymagają dodatkowej weryfikacji aplikacji. Więcej informacji o tym wymaganiu znajdziesz w artykule Wymagania dotyczące zakresów wrażliwych i ograniczonych.
Ograniczony dostęp: te zakresy zapewniają szeroki dostęp do danych użytkownika Google i wymagają przejścia procesu weryfikacji zakresu ograniczonego. Informacje na temat tego wymogu znajdziesz w artykułach Zasady dotyczące danych użytkownika w usługach interfejsów API Google i Dodatkowe wymagania dotyczące określonych zakresów interfejsu API. Jeśli przechowujesz dane z zakresu ograniczonego dostępu na serwerach (lub je przesyłasz), musisz przejść ocenę bezpieczeństwa.
Jeśli Twoja aplikacja wymaga dostępu do innych interfejsów API Google, możesz też dodać te zakresy. Więcej informacji o zakresach interfejsów API Google znajdziesz w artykule o korzystaniu z protokołu OAuth 2.0 do uzyskiwania dostępu do interfejsów API Google.
Więcej informacji o konkretnych zakresach protokołu OAuth 2.0 znajdziesz w artykule Zakresy OAuth 2.0 dla interfejsów API Google.
Weryfikacja OAuth
Korzystanie z niektórych zakresów OAuth może wymagać przeprowadzenia aplikacji przez Centrum pomocy weryfikacji aplikacji OAuth. Przeczytaj Najczęstsze pytania na temat aplikacji OAuth, aby dowiedzieć się, kiedy aplikacja powinna przejść weryfikację i jaki typ weryfikacji jest wymagany. Zapoznaj się też z Warunkami korzystania z Dysku Google.
Kiedy używać zakresu z ograniczeniami
W przypadku Dysku dostęp do zakresów z ograniczeniami mogą mieć tylko te typy aplikacji:
- Aplikacje internetowe i specyficzne dla danej platformy, które umożliwiają lokalną synchronizację lub automatyczne tworzenie kopii zapasowych plików użytkowników na Dysku.
- aplikacje zwiększające produktywność i edukacyjne, których interfejs może wymagać interakcji z plikami na Dysku (lub ich metadanych bądź uprawnień). Aplikacje zwiększające produktywność to m.in. aplikacje do zarządzania zadaniami, robienia notatek, komunikacji w grupach i aplikacji do współpracy w klasie.
- Aplikacje do raportowania i zabezpieczeń, które dostarczają użytkownikom informacji o tym, jak pliki są udostępniane i otwierane.
Aby nadal korzystać z zakresów z ograniczeniami, przygotuj aplikację do weryfikacji w zakresie ograniczonym.
Przeprowadź migrację istniejącej aplikacji z zakresów z ograniczeniami
Jeśli masz aplikację Dysku stworzoną przy użyciu dowolnego z ograniczonych zakresów, zalecamy przeprowadzenie migracji aplikacji do zakresu niewrażliwego, ponieważ zapewnia on dostęp do poszczególnych plików i zawęża dostęp do określonych funkcji niezbędnych aplikacji. Wiele aplikacji obsługuje dostęp do poszczególnych plików bez wprowadzania zmian. Jeśli używasz własnego selektora plików, zalecamy przejście na interfejs Google Picker API, który w pełni obsługuje różne zakresy.
Zalety zakresu OAuth drive.file
Korzystanie z zakresu OAuth drive.file
i interfejsu Google Picker API optymalizuje wrażenia użytkowników i bezpieczeństwo Twojej aplikacji.
Zakres OAuth drive.file
pozwala użytkownikom wybrać, które pliki będą udostępniać Twojej aplikacji. Dzięki temu będą mieli większą kontrolę i pewność, że dostęp aplikacji do ich plików będzie ograniczony i bezpieczny. Wymaganie szerokiego dostępu do wszystkich plików na Dysku może natomiast zniechęcić użytkowników do korzystania z Twojej aplikacji. Oto kilka powodów, dla których warto użyć zakresu drive.file
:
Użyteczność: zakres
drive.file
działa ze wszystkimi zasobami interfejsu Drive API typu REST, co oznacza, że możesz z niego korzystać w taki sam sposób, w jaki używasz szerszych zakresów OAuth.Funkcje: interfejs Google Picker API ma interfejs podobny do interfejsu Dysku. Obejmuje to kilka widoków z podglądem i miniaturami plików na Dysku oraz wbudowanego okno modalne, dzięki któremu użytkownicy nigdy nie wychodzą z głównej aplikacji.
Wygoda: podczas korzystania z filtra plików w selektorze Google aplikacje mogą stosować filtry określonych typów plików na Dysku (takich jak Dokumenty, Arkusze czy zdjęcia Google).
Ze względu na to, że drive.file
nie ma poufnego charakteru, proces weryfikacji jest prostszy.
Zapisz tokeny odświeżania
Zapisz tokeny odświeżania w bezpiecznym, długoterminowym miejscu i używaj ich, dopóki pozostają ważne.