המסמך הזה מכיל מידע על הרשאות ואימות שספציפיים ל-Google Drive API. לפני שקוראים את המסמך הזה, חשוב לקרוא את המידע הכללי של Google Workspace בנושא אימות והרשאה, במאמר מידע על אימות והרשאה.
הגדרת OAuth 2.0 להרשאה
כדי לקבוע איזה מידע יוצג למשתמשים ולבודקי אפליקציות, צריך להגדיר את מסך ההסכמה ל-OAuth ולבחור היקפים, ולרשום את האפליקציה כדי לפרסם אותה מאוחר יותר.
היקפי ההרשאות של Drive API
כדי להגדיר את רמת הגישה שמוענקת לאפליקציה, אתם צריכים לזהות את היקפי ההרשאות ולהצהיר עליהם. היקף ההרשאה הוא מחרוזת של OAuth 2.0 URI שכוללת את השם של האפליקציה ב-Google Workspace, את סוג הנתונים שאליהם היא ניגשת ואת רמת הגישה. היקפי הרשאות הם הבקשות של האפליקציה לעבוד עם נתוני Google Workspace, כולל נתוני חשבונות Google של משתמשים.
כשמתקינים את האפליקציה, המשתמש מתבקש לאמת את היקפי ההרשאות שהאפליקציה משתמשת בו. באופן כללי, כדאי לבחור את ההיקף הצר ביותר שאפשר ולהימנע משליחת בקשות להיקפים שלא נדרשים לאפליקציה. המשתמשים מעניקים גישה יותר בקלות להיקפים מוגבלים שמתוארים בצורה ברורה.
כשהדבר אפשרי, מומלץ להשתמש בהיקפים לא רגישים, כי הוא נותן היקף גישה לכל קובץ ומצמצם את הגישה לתכונות ספציפיות שנדרשות על ידי האפליקציה.
Drive API תומך בהיקפים הבאים:
| קוד היקף ההרשאות | תיאור | Usage |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
הצגה וניהול של נתוני התצורה של האפליקציה עצמה ב-Google Drive. | מומלץ לא רגיש |
https://www.googleapis.com/auth/drive.install |
ההגדרה הזו מאפשרת לאפליקציות להופיע כאפשרות בתפריט 'פתיחה באמצעות' או בתפריט 'חדש'. | מומלץ לא רגיש |
https://www.googleapis.com/auth/drive.file |
ליצור קבצים חדשים ב-Drive, או לשנות קבצים קיימים, שפתחתם באמצעות אפליקציה או שהמשתמש משתף עם אפליקציה, באמצעות Google Picker API או הכלי לבחירת קבצים באפליקציה. | מומלץ לא רגיש |
https://www.googleapis.com/auth/drive.apps.readonly |
הצגת האפליקציות שמורשות לגשת ל-Drive שלך. | רגישות |
https://www.googleapis.com/auth/drive |
הצגה וניהול של כל הקבצים שלך ב-Drive. | מוצר שהצפייה בו הוגבלה |
https://www.googleapis.com/auth/drive.readonly |
להציג ולהוריד את כל הקבצים שלכם ב-Drive. | מוצר שהצפייה בו הוגבלה |
https://www.googleapis.com/auth/drive.activity |
להציג את רשומות הפעילות של הקבצים ב-Drive ולהוסיף אותן. | מוצר שהצפייה בו הוגבלה |
https://www.googleapis.com/auth/drive.activity.readonly |
הצגת הפעילות שבוצעה בקבצים ב-Drive שלכם. | מוצר שהצפייה בו הוגבלה |
https://www.googleapis.com/auth/drive.meet.readonly |
צפייה בקבצים ב-Drive שנוצרו או נערכו ב-Google Meet. | מוצר שהצפייה בו הוגבלה |
https://www.googleapis.com/auth/drive.metadata |
הצגה וניהול של מטא-נתונים של קבצים ב-Drive. | מוצר שהצפייה בו הוגבלה |
https://www.googleapis.com/auth/drive.metadata.readonly |
הצגת מטא-נתונים של קבצים ב-Drive. | מוצר שהצפייה בו הוגבלה |
https://www.googleapis.com/auth/drive.scripts |
שינוי התנהגות הסקריפטים של Google Apps Script שלך. | מוצר שהצפייה בו הוגבלה |
העמודה Usage (שימוש) בטבלה שלמעלה מציינת את הרגישות של כל היקף, לפי ההגדרות הבאות:
מומלץ / לא רגיש: ההיקפים האלה מספקים את ההיקף הקטן ביותר של גישה להרשאות, והם דורשים רק אימות בסיסי של אפליקציות. מידע על הדרישה הזו מופיע במאמר דרישות האימות.
מומלץ / רגיש: ההיקפים האלה מספקים גישה לנתוני משתמשים ספציפיים ב-Google שקיבלו אישור מהמשתמש לשימוש באפליקציה. לשם כך, צריך לבצע אימות נוסף של האפליקציה. למידע על הדרישה הזו, ראו דרישות להיקפים רגישים ומוגבלים.
מוגבל: ההיקפים האלה נותנים גישה רחבה לנתוני המשתמשים ב-Google ומחייבים לעבור תהליך אימות בהיקף מוגבל. מידע על הדרישה הזו זמין במאמר מדיניות בנושא נתוני משתמשים בשירותי Google API ובדרישות נוספות להיקפים ספציפיים של API. אם אתם מאחסנים נתונים בהיקף מוגבל בשרתים (או משדרים), צריך לעבור בדיקת אבטחה.
אם לאפליקציה שלכם נדרשת גישה לממשקי API אחרים של Google, אפשר להוסיף גם את ההיקפים האלה. למידע נוסף על ההיקפים של Google API, ראו שימוש ב-OAuth 2.0 לגישה ל-Google APIs.
למידע נוסף על היקפים ספציפיים של OAuth 2.0, ראו היקפי OAuth 2.0 ל-Google APIs.
אימות OAuth
השימוש בהיקפים מסוימים של OAuth עשוי לדרוש שהאפליקציה תמשיך במרכז העזרה של OAuth לאימות אפליקציות. תוכלו לקרוא את השאלות הנפוצות בנושא אפליקציות OAuth כדי לדעת מתי צריך לעבור את תהליך האימות ואיזה סוג אימות נדרש. כדאי לעיין גם בתנאים ובהגבלות של Google Drive.
מתי להשתמש בהיקף מוגבל
ב-Drive, אפשר לגשת להיקפים מוגבלים רק לסוגי האפליקציות הבאים:
- אפליקציות ספציפיות לפלטפורמה ואפליקציות אינטרנט שמספקות סנכרון מקומי או גיבוי אוטומטי של קובצי Drive של המשתמשים.
- אפליקציות לפרודוקטיביות וחינוכיות שממשק המשתמש שלהן עשוי להיות כרוך באינטראקציה עם קובצי Drive (או המטא-נתונים או ההרשאות שלהם). אפליקציות לפרודוקטיביות כוללות ניהול משימות, כתיבת הערות, תקשורת בקבוצות עבודה ואפליקציות לשיתוף פעולה בכיתה.
- אפליקציות דיווח ואבטחה שמספקות תובנות לגבי משתמשים או לקוחות לגבי אופן השיתוף של קבצים או הגישה אליהם.
כדי להמשיך להשתמש בהיקפים מוגבלים, צריך להכין את האפליקציה לאימות היקף מוגבל.
העברת אפליקציה קיימת מהיקפים מוגבלים
אם פיתחתם אפליקציית Drive בעזרת אחד מההיקפים המוגבלים, מומלץ להעביר את האפליקציה לשימוש בהיקף לא רגיש, כי היא מעניקה היקף גישה לכל קובץ ומצמצמת את הגישה לתכונות ספציפיות שנדרשות לאפליקציה. אפליקציות רבות פועלות עם גישה לכל קובץ ללא שינוי. אם אתם משתמשים בכלי לבחירת קבצים משלכם, מומלץ לעבור ל-Google Picker API שתומך באופן מלא בהיקפים שונים.
היתרונות של היקף הרשאות OAuth drive.file
היקף ההרשאות drive.file ב-OAuth ו-Google Picker API משמשים לאופטימיזציה של חוויית המשתמש וגם של הבטיחות באפליקציה.
היקף ההרשאות ל-OAuth drive.file מאפשר למשתמשים לבחור את הקבצים שהם רוצים לשתף עם האפליקציה, וכך נותן להם יותר שליטה וביטחון שהגישה של האפליקציה לקבצים שלהם מוגבלת ומאובטחת יותר. לעומת זאת, דרישה לגישה רחבה לכל הקבצים ב-Drive עלולה לגרום למשתמשים לא ליצור אינטראקציה עם האפליקציה שלכם. הנה כמה סיבות לכך שכדאי להשתמש בהיקף drive.file:
נוחות השימוש: ההיקף
drive.fileפועל עם כל משאבי ה-REST של Drive API, כך שאפשר להשתמש בו באותו אופן שבו משתמשים בהיקפים רחבים יותר של OAuth.תכונות: Google Picker API מספק ממשק דומה לממשק המשתמש של Drive. זה כולל כמה תצוגות שבהן מוצגות תצוגות מקדימות ותמונות ממוזערות של קובצי Drive, וגם חלון מודאלי מובנה, כך שהמשתמשים אף פעם לא יוצאים מהאפליקציה הראשית.
נוחות: אפליקציות יכולות להחיל מסננים על סוגים מסוימים של קבצים ב-Drive (כמו Google Docs, Sheets ותמונות) באמצעות מסנן בקובצי Google Picker.
בנוסף, מכיוון ש-drive.file לא רגיש, הוא מאפשר תהליך אימות יעיל יותר.
שמירת אסימוני הרענון
אפשר לשמור אסימוני רענון באחסון מאובטח לטווח ארוך ולהמשיך להשתמש בהם כל עוד הם בתוקף.