对 Meet REST API 请求进行身份验证和授权

身份验证和授权是用来验证 对资源的访问本文档简要介绍了身份验证和 Google Meet REST API 请求的授权工作。

本指南介绍了如何将 OAuth 2.0 与用户的 Google 凭据搭配使用, 访问 Meet REST API。身份验证和 使用用户凭据进行授权后,Meet 应用可以访问用户数据 并代表经过身份验证的用户执行操作通过在以下位置进行身份验证: 则应用具有与该用户相同的权限,并且可以执行 就像该用户执行的操作一样。

重要术语

以下是与身份验证和授权相关的术语列表:

Authentication
确保主账号(可以是用户)的行为 或应用代表用户行事,这与用户宣称的身份相符。撰写内容时 Google Workspace 应用,您应该了解这些类型的 身份验证:用户身份验证和应用身份验证。对于 Meet REST API,那么您只能使用用户身份验证方式进行身份验证。
授权
权限或“授权机构”主账号有权访问 或执行操作通过您编写的代码完成授权 。此代码会通知用户,应用希望对其执行操作 在允许的情况下,使用您应用的唯一凭据 访问令牌来访问数据或执行操作。
服务账号
一种特殊的 Google 账号,用于表示 需要进行身份验证并获得授权才能访问的非真人用户 云端数据和运维。您的应用将采用以下身份: 来调用 Google API,这样用户就不必直接 。服务账号本身不能用于访问用户 数据。但是,服务账号可以通过实现 全网域授权。有关详情,请参阅 Service 账号 概览
全网域授权
一项管理功能,可授权应用访问用户 代表 Google Workspace 组织中的用户共享数据。全网域 可用于对用户数据执行与管理员相关的任务。接收者 以这种方式委托权限,Google Workspace 管理员使用服务 使用 OAuth 2.0 进行授权得益于此功能的强大功能, 网域的管理员可以启用全网域委派功能, 授权。有关详情,请参阅将全网域授权委派给 服务 账号

符合 REST API 范围

授权范围是您请求用户授予的权限 访问会议内容的权限。用户安装您的应用时 验证这些范围一般来说,您应该选择 尽可能缩小范围,并避免请求您的应用 不需要。用户更乐意授予受限且描述清晰的访问权限 范围。

Meet REST API 支持以下 OAuth 2.0 范围:

范围代码 说明 用量
https://www.googleapis.com/auth/meetings.space.readonly 允许应用读取用户有权访问的任何会议空间的元数据。 敏感内容
https://www.googleapis.com/auth/meetings.space.created 允许应用创建、修改和读取与您应用创建的会议空间相关的元数据。 敏感内容
https://www.googleapis.com/auth/drive.readonly 允许应用通过 Google Drive API 下载录音和转录文件。 受限

下列与 Meet 相关的 OAuth 2.0 范围位于 Google Drive API 范围列表

范围代码 说明 用量
https://www.googleapis.com/auth/drive.meet.readonly 查看通过 Google Meet 创建或修改的云端硬盘文件。 受限

表格中的“使用量”列表示的是每个范围的敏感度, 更改为以下定义:

  • 推荐范围/敏感范围:这些范围提供对特定 Google 产品/服务的访问权限 。您需要 进行额外的应用验证有关此要求的信息 请参阅敏感范围和受限范围 要求

  • 受限:这类范围允许广泛访问 Google 用户数据和 要求您完成受限范围内的验证流程。对于 有关此要求的信息,请参阅 Google API 服务用户数据 政策其他要求 适用于特定 API 镜。 如果您将受限范围的数据存储在服务器上(或传输),则必须 进行安全评估

如果您的应用需要访问任何其他 Google API,您可以添加这些范围 。有关 Google API 范围的详细信息,请参阅使用 OAuth 2.0 访问 Google API

如需指定向用户显示哪些信息以及应用审核者,请参阅 配置 OAuth 同意屏幕并选择 范围

有关特定 OAuth 2.0 范围的详细信息,请参阅 OAuth 2.0 Scopes for Google API 中所述。

使用全网域授权来进行身份验证和授权

如果您是域管理员,则可以将全域授权 授权 访问用户的而无需使用 以表示同意。配置全网域授权后,服务 账号可以模拟用户 账号。 虽然服务账号用于进行身份验证,但全网域授权 因此被视为用户身份验证。不限 允许用户身份验证的功能可以使用全网域授权