Tài liệu này trình bày thông tin xác thực và thông tin uỷ quyền dành riêng cho API Google Drive. Trước khi đọc tài liệu này, hãy nhớ đọc thông tin uỷ quyền và xác thực chung của Google Workspace trong phần Tìm hiểu về tính năng xác thực và uỷ quyền.
Định cấu hình OAuth 2.0 để uỷ quyền
Định cấu hình màn hình xin phép bằng OAuth và chọn phạm vi để xác định thông tin nào sẽ hiển thị cho người dùng và người đánh giá ứng dụng, đồng thời đăng ký ứng dụng để bạn có thể phát hành vào lúc khác.
Các phạm vi của API Drive
Để xác định cấp truy cập được cấp cho ứng dụng của mình, bạn cần xác định và khai báo phạm vi uỷ quyền. Phạm vi uỷ quyền là một chuỗi URI OAuth 2.0 chứa tên ứng dụng Google Workspace, loại dữ liệu mà ứng dụng truy cập và cấp truy cập. Phạm vi là những yêu cầu mà ứng dụng của bạn yêu cầu để làm việc với dữ liệu trên Google Workspace, bao gồm cả dữ liệu trong Tài khoản Google của người dùng.
Khi ứng dụng của bạn được cài đặt, người dùng sẽ được yêu cầu xác thực các phạm vi mà ứng dụng sử dụng. Nhìn chung, bạn nên chọn phạm vi có độ tập trung hẹp nhất có thể và tránh yêu cầu các phạm vi mà ứng dụng của bạn không yêu cầu. Người dùng có thể cấp quyền truy cập dễ dàng hơn cho các phạm vi giới hạn, được mô tả rõ ràng.
Khi có thể, bạn nên sử dụng phạm vi không nhạy cảm vì phạm vi này cấp phạm vi truy cập theo từng tệp và thu hẹp quyền truy cập vào các tính năng cụ thể mà ứng dụng cần.
API Drive hỗ trợ các phạm vi sau:
| Mã phạm vi | Nội dung mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
Xem và quản lý dữ liệu cấu hình riêng của ứng dụng trong Google Drive của bạn. | Nên dùng Không nhạy cảm |
https://www.googleapis.com/auth/drive.install |
Cho phép ứng dụng xuất hiện dưới dạng tuỳ chọn trong trình đơn "Mở bằng" hoặc "Mới". | Nên dùng Không nhạy cảm |
https://www.googleapis.com/auth/drive.file |
Tạo tệp mới trên Drive hoặc sửa đổi các tệp hiện có mà bạn mở bằng ứng dụng hoặc người dùng chia sẻ với một ứng dụng trong khi sử dụng Google Inspector API hoặc bộ chọn tệp của ứng dụng. | Nên dùng Không nhạy cảm |
https://www.googleapis.com/auth/drive.apps.readonly |
Xem các ứng dụng được phép truy cập vào Drive của bạn. | Nhạy cảm |
https://www.googleapis.com/auth/drive |
Xem và quản lý tất cả tệp của bạn trên Drive. | Bị hạn chế |
https://www.googleapis.com/auth/drive.readonly |
Xem và tải tất cả tệp của bạn trên Drive xuống. | Bị hạn chế |
https://www.googleapis.com/auth/drive.activity |
Xem và thêm vào hồ sơ hoạt động của các tệp trong Drive của bạn. | Bị hạn chế |
https://www.googleapis.com/auth/drive.activity.readonly |
Xem hồ sơ hoạt động của các tệp trong Drive của bạn. | Bị hạn chế |
https://www.googleapis.com/auth/drive.meet.readonly |
Xem các tệp trên Drive do Google Meet tạo hoặc chỉnh sửa. | Bị hạn chế |
https://www.googleapis.com/auth/drive.metadata |
Xem và quản lý siêu dữ liệu của tệp trong Drive của bạn. | Bị hạn chế |
https://www.googleapis.com/auth/drive.metadata.readonly |
Xem siêu dữ liệu về các tệp trong Drive của bạn. | Bị hạn chế |
https://www.googleapis.com/auth/drive.scripts |
Sửa đổi hành vi của tập lệnh Google Apps Script. | Bị hạn chế |
Cột Sử dụng trong bảng trên cho biết mức độ nhạy cảm của từng phạm vi, theo các định nghĩa sau:
Đề xuất / Không nhạy cảm: Các phạm vi này cung cấp phạm vi nhỏ nhất của quyền truy cập uỷ quyền và chỉ yêu cầu quy trình xác minh ứng dụng cơ bản. Để biết thông tin về yêu cầu này, hãy xem Yêu cầu về việc xác minh.
Đề xuất / Nhạy cảm: Các phạm vi này cấp quyền truy cập vào Dữ liệu người dùng cụ thể của Google mà người dùng đã uỷ quyền cho ứng dụng của bạn. Bạn phải thực hiện quy trình xác minh bổ sung đối với ứng dụng. Để biết thông tin về yêu cầu này, hãy xem bài viết Các yêu cầu về phạm vi nhạy cảm và bị hạn chế.
Bị hạn chế: Các phạm vi này cấp quyền truy cập rộng rãi vào Dữ liệu người dùng của Google và yêu cầu bạn phải thực hiện quy trình xác minh phạm vi có hạn chế. Để biết thông tin về yêu cầu này, hãy xem Chính sách dữ liệu người dùng của Dịch vụ API của Google và Các yêu cầu bổ sung đối với các phạm vi API cụ thể. Nếu lưu trữ dữ liệu phạm vi bị hạn chế trên máy chủ (hoặc truyền dữ liệu), bạn phải trải qua quy trình đánh giá bảo mật.
Nếu ứng dụng của bạn yêu cầu quyền truy cập vào bất kỳ API nào khác của Google, bạn cũng có thể thêm các phạm vi đó. Để biết thêm thông tin về các phạm vi API của Google, hãy xem bài viết Sử dụng OAuth 2.0 để truy cập API Google.
Để biết thêm thông tin về các phạm vi OAuth 2.0 cụ thể, hãy xem bài viết Phạm vi OAuth 2.0 cho API Google.
Xác minh OAuth
Việc sử dụng một số phạm vi OAuth nhất định có thể yêu cầu ứng dụng tiếp tục thông qua Trung tâm trợ giúp xác minh ứng dụng OAuth. Hãy đọc bài viết Câu hỏi thường gặp về ứng dụng OAuth để xác định thời điểm ứng dụng của bạn phải trải qua quy trình xác minh và loại xác minh nào cần thiết. Xem thêm Điều khoản dịch vụ của Google Drive.
Trường hợp sử dụng phạm vi bị hạn chế
Đối với Drive, chỉ các loại ứng dụng sau mới có thể truy cập vào phạm vi bị hạn chế:
- Các ứng dụng web và ứng dụng dành riêng cho nền tảng cung cấp tính năng đồng bộ hoá cục bộ hoặc sao lưu tự động các tệp trên Drive của người dùng.
- Các ứng dụng giáo dục và cải thiện hiệu suất có giao diện người dùng có thể liên quan đến việc tương tác với các tệp trên Drive (hoặc siêu dữ liệu hay quyền của các tệp đó). Các ứng dụng cải thiện hiệu suất bao gồm ứng dụng quản lý công việc, ghi chú, giao tiếp nhóm làm việc và cộng tác trong lớp học.
- Các ứng dụng báo cáo và bảo mật cung cấp thông tin chi tiết về người dùng hoặc khách hàng về cách chia sẻ hoặc truy cập tệp.
Để tiếp tục sử dụng phạm vi bị hạn chế, bạn nên chuẩn bị ứng dụng cho quy trình xác minh phạm vi bị hạn chế.
Di chuyển ứng dụng hiện có khỏi phạm vi bị hạn chế
Nếu đã phát triển một ứng dụng Drive bằng cách sử dụng bất kỳ phạm vi bị hạn chế nào, bạn nên di chuyển ứng dụng của mình để dùng một phạm vi không nhạy cảm vì phạm vi này cấp quyền truy cập theo từng tệp và thu hẹp quyền truy cập vào các tính năng cụ thể mà ứng dụng cần. Nhiều ứng dụng hoạt động với quyền truy cập theo tệp mà không có bất kỳ thay đổi nào. Nếu đang dùng bộ chọn tệp của riêng mình, bạn nên chuyển sang API Bộ chọn của Google (hỗ trợ đầy đủ nhiều phạm vi).
Lợi ích của phạm vi OAuth drive.file
Việc sử dụng phạm vi OAuth drive.file và API Bộ chọn của Google sẽ tối ưu hoá cả trải nghiệm người dùng và sự an toàn cho ứng dụng của bạn.
Phạm vi OAuth của drive.file cho phép người dùng chọn tệp mà họ muốn chia sẻ với ứng dụng của bạn. Nhờ đó, họ có nhiều quyền kiểm soát hơn và yên tâm hơn rằng quyền truy cập của ứng dụng vào các tệp sẽ bị hạn chế và an toàn hơn. Ngược lại, việc yêu cầu quyền truy cập rộng rãi vào tất cả các tệp trên Drive có thể khiến người dùng không muốn tương tác với ứng dụng của bạn. Sau đây là một số lý do bạn nên sử dụng phạm vi drive.file:
Khả năng hữu dụng: Phạm vi
drive.filehoạt động với tất cả các Tài nguyên REST API của Drive, có nghĩa là bạn có thể sử dụng phạm vi này giống như cách bạn sử dụng các phạm vi OAuth rộng hơn.Tính năng: API Bộ chọn của Google cung cấp giao diện tương tự như giao diện người dùng của Drive. Trong đó có một số chế độ xem cho thấy bản xem trước và hình thu nhỏ của các tệp trên Drive, cũng như một cửa sổ phương thức cùng dòng để người dùng không bao giờ rời khỏi ứng dụng chính.
Thuận tiện: Các ứng dụng có thể áp dụng bộ lọc cho một số loại tệp trên Drive (chẳng hạn như Google Tài liệu, Trang tính và ảnh) khi sử dụng bộ lọc trên các tệp trong Bộ chọn của Google.
Ngoài ra, vì drive.file không nhạy cảm, nên quy trình xác minh
đơn giản hơn.
Lưu mã làm mới
Lưu mã làm mới vào bộ nhớ an toàn, dài hạn và tiếp tục sử dụng các mã đó miễn là mã này vẫn hợp lệ.