Ten dokument zawiera informacje na temat autoryzacji i uwierzytelniania w interfejsie API Dysku Google. Zanim zaczniesz czytać ten dokument, zapoznaj się z ogólnymi informacjami o uwierzytelnianiu i autoryzacji w Google Workspace, które znajdziesz w artykule Więcej informacji o uwierzytelnianiu i autoryzacji.
Konfigurowanie OAuth 2.0 na potrzeby autoryzacji
Konfigurowanie ekranu zgody OAuth i wybieranie zakresów, aby określić, jakie informacje są wyświetlane użytkownikom i sprawdzającym aplikację, oraz zarejestrować aplikację, aby można ją było opublikować.
Zakresy interfejsu Drive API
Aby określić poziom dostępu przyznanego aplikacji, musisz zidentyfikować i zadeklarować zakresy autoryzacji. Zakres autoryzacji to ciąg znaków URI OAuth 2, który zawiera nazwę aplikacji Google Workspace, rodzaj danych, do których ma dostęp, oraz poziom dostępu. Zakresy to żądania aplikacji dotyczące danych Google Workspace, w tym danych z konta Google użytkowników.
Po zainstalowaniu aplikacji użytkownik musi zatwierdzić zakresy używane przez aplikację. Zazwyczaj należy wybrać jak najbardziej ograniczony zakres i unikać żądania zakresów, których aplikacja nie wymaga. Użytkownicy chętniej udzielają dostępu do ograniczonych, jasno opisanych zakresów.
Zalecamy, aby w miarę możliwości używać zakresów dostępu bez danych wrażliwych, ponieważ przyznają one dostęp na poziomie pliku i ograniczają dostęp do określonych funkcji potrzebnych przez aplikację.
Interfejs Drive API obsługuje te zakresy:
| Kod zakresu | Opis | Wykorzystanie |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
Wyświetlanie na Dysku Google danych konfiguracyjnych aplikacji i zarządzanie nimi. | Zalecane Niewrażliwe |
https://www.googleapis.com/auth/drive.install |
Zezwalaj aplikacjom na pojawianie się jako opcje w menu „Otwórz za pomocą” lub „Nowy”. | Zalecane Niewrażliwe |
https://www.googleapis.com/auth/drive.file |
tworzyć nowe pliki na Dysku i modyfikować istniejące pliki otwierane za pomocą aplikacji lub udostępniane aplikacji przez użytkownika przy użyciu interfejsu Google Picker API lub selektora plików w aplikacji; | Zalecane Niewrażliwe |
https://www.googleapis.com/auth/drive.apps.readonly |
Wyświetlanie aplikacji mających dostęp do Dysku. | Poufne |
https://www.googleapis.com/auth/drive |
Wyświetlanie wszystkich plików na Dysku i zarządzanie nimi. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.readonly |
wyświetlać i pobierać wszystkie pliki z Dysku; | Z ograniczeniem |
https://www.googleapis.com/auth/drive.activity |
wyświetlać i uzupełniać zapis aktywności na plikach na Dysku; | Z ograniczeniem |
https://www.googleapis.com/auth/drive.activity.readonly |
Wyświetlanie rejestru działań na plikach na Dysku. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.meet.readonly |
Wyświetlanie plików z Dysku utworzonych lub edytowanych w Google Meet. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.metadata |
Wyświetlanie metadanych plików na Dysku i zarządzanie nimi. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.metadata.readonly |
Wyświetlanie metadanych plików na Dysku | Z ograniczeniem |
https://www.googleapis.com/auth/drive.scripts |
Modyfikowanie zachowania skryptów Google Apps Script. | Z ograniczeniem |
Kolumna „Użycie” w tabeli powyżej wskazuje czułość każdego zakresu według tych definicji:
Zalecane / niewrażliwe: te zakresy zapewniają najmniejszy zakres autoryzacji dostępu i wymagają jedynie podstawowej weryfikacji aplikacji. Informacje o tym wymaganiu znajdziesz w wymaganiach dotyczących weryfikacji.
Zalecane / Wrażliwe: te zakresy zapewniają dostęp do określonych danych użytkownika Google, które zostały autoryzowane przez użytkownika w Twojej aplikacji. Wymaga to dodatkowej weryfikacji aplikacji. Informacje o tym wymaganiu znajdziesz w artykule Wymagania dotyczące treści o charakterze kontrowersyjnym i ograniczonym.
Z ograniczeniami: te zakresy zapewniają szeroki dostęp do danych użytkownika Google i wymagają przejścia procesu weryfikacji zakresu z ograniczeniami. Więcej informacji o tym wymaganiu znajdziesz w zasadach dotyczących danych użytkownika w usługach interfejsu API Google i dodatkowych wymaganiach dotyczących konkretnych zakresów interfejsu API. Jeśli przechowujesz dane z ograniczonym zakresem na serwerach (lub je przesyłasz), musisz przejść ocenę bezpieczeństwa.
Jeśli Twoja aplikacja wymaga dostępu do innych interfejsów API Google, możesz też dodać te zakresy. Więcej informacji o zakresach interfejsów API Google znajdziesz w artykule Używanie protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google.
Więcej informacji o konkretnych zakresach protokołu OAuth 2.0 znajdziesz w artykule Zakresy protokołu OAuth 2.0 dla interfejsów API Google.
Weryfikacja OAuth
Korzystanie z określonych zakresów OAuth może wymagać przejścia przez centrum pomocy dotyczącego weryfikacji aplikacji OAuth. Przeczytaj najczęstsze pytania dotyczące aplikacji OAuth, aby dowiedzieć się, kiedy aplikacja powinna przejść weryfikację i jakiego typu weryfikacja jest wymagana. Zobacz też Warunki korzystania z Dysku Google.
Kiedy używać zakresu z ograniczeniami
W przypadku Dysku tylko te typy aplikacji mogą uzyskiwać dostęp do ograniczonych zakresów:
- Aplikacje internetowe oraz specyficzne dla platform, które zapewniają lokalną synchronizację lub automatyczne tworzenie kopii zapasowych plików użytkowników na Dysku.
- aplikacje do produktywności i edukacji, których interfejs może obejmować interakcje z plikami na Dysku (lub ich metadanymi lub uprawnieniami); Aplikacje zwiększające produktywność obejmują aplikacje do zarządzania zadaniami, tworzenia notatek, komunikacji w grupach roboczych oraz współpracy w klasie.
- Aplikacje do raportowania i zarządzania bezpieczeństwem, które dostarczają użytkownikom lub klientom informacji o tym, jak pliki są udostępniane i dostęp do nich uzyskiwany.
Aby nadal używać ograniczonych zakresów, musisz przygotować aplikację do weryfikacji ograniczonego zakresu.
Migracja istniejącej aplikacji z zakresów z ograniczeniami
Jeśli masz aplikację Dysku utworzoną przy użyciu dowolnego z ograniczonych zakresów, zalecamy przeniesienie jej do zakresu niewrażliwego, ponieważ zapewnia on zakres dostępu na poziomie pliku i ogranicza dostęp do określonych funkcji wymaganych przez aplikację. Wiele aplikacji obsługuje dostęp na poziomie pliku bez wprowadzania żadnych zmian. Jeśli używasz własnego selektora plików, zalecamy przejście na interfejs Google Picker API, który w pełni obsługuje różne zakresy.
Zalety zakresu protokołu OAuth drive.file
Korzystanie z zakresu OAuth drive.file i interfejsu Google Picker API pozwala zoptymalizować zarówno wrażenia użytkownika, jak i bezpieczeństwo aplikacji.
Zakres OAuth drive.file pozwala użytkownikom wybrać, które pliki chcą udostępnić Twojej aplikacji. Dzięki temu mają większą kontrolę i pewność, że dostęp aplikacji do ich plików jest ograniczony i bardziej bezpieczny. Z kolei wymaganie szerokiego dostępu do wszystkich plików na Dysku może zniechęcić użytkowników do korzystania z aplikacji. Oto kilka powodów, dla których warto używać zakresu drive.file:
Łatwość użycia: zakres
drive.filedziała z wszystkimi zasobami REST interfejsu Drive API, co oznacza, że możesz go używać w taki sam sposób jak szerszych zakresów OAuth.Funkcje: interfejs Google Picker API jest podobny do interfejsu Drive. Obejmuje to kilka widoków z podglądami i miniaturami plików na Dysku oraz wbudowane, modalne okno, dzięki któremu użytkownicy nigdy nie opuszczają głównej aplikacji.
Wygoda: aplikacje mogą stosować filtry do określonych typów plików na Dysku (na przykład plików Dokumentów, Arkuszy i zdjęć Google) podczas korzystania z filtrów w plikach selektora Google.
Poza tym drive.file nie jest informacja wrażliwa, co pozwala na uproszczenie procesu weryfikacji.
Zapisywanie tokenów odświeżania
Zapisz tokeny odświeżania w bezpiecznym, długoterminowym miejscu przechowywania i używaj ich tak długo, jak są ważne.