Uwierzytelnianie i autoryzacja to mechanizmy służące do weryfikowania tożsamości dostęp do zasobów. W tym dokumencie opisujemy, jak uwierzytelnianie działa w przypadku żądań do interfejsu API typu REST Google Meet.
Z tego przewodnika dowiesz się, jak używać protokołu OAuth 2.0 z danymi logowania Google użytkownika do: użyć interfejsu Meet REST API. Uwierzytelnianie autoryzacja za pomocą danych logowania użytkownika pozwala aplikacjom Meet na dostęp do danych użytkownika i wykonywać operacje w imieniu uwierzytelnionego użytkownika. Poprzez uwierzytelnienie na w imieniu użytkownika, aplikacja ma te same uprawnienia co ten użytkownik i może wykonywać takich jak działania wykonywane przez tego użytkownika.
Ważna terminologia
Poniżej znajduje się lista terminów związanych z uwierzytelnianiem i autoryzacją:
- Uwierzytelnianie
- Działanie polegające na tym, że podmiot zabezpieczeń, którym może być użytkownik czy aplikacja działająca w imieniu użytkownika, jest tym, za kogo się podaje. Podczas pisania aplikacji Google Workspace, zapoznaj się z tymi typami aplikacji uwierzytelnianie: uwierzytelnianie użytkowników i uwierzytelnianie aplikacji. Dla: Meet API typu REST, do uwierzytelniania możesz używać tylko uwierzytelniania użytkownika.
- Autoryzacja
- Uprawnienia, czyli organ władzy, podmiot zabezpieczeń musi uzyskać dostęp ani wykonywać operacji. Autoryzacja jest przeprowadzana za pomocą napisanego przez Ciebie kodu w aplikacji. Kod ten informuje użytkownika, że aplikacja chce działać na jego i, jeśli jest to dozwolone, wykorzystuje unikalne dane logowania aplikacji do uzyskania token dostępu od Google, aby uzyskiwać dostęp do danych lub wykonywać operacje.
- Konto usługi
- Specjalny typ konta Google przeznaczony do reprezentowania niebędący człowiekiem, który musi się uwierzytelnić i mieć uprawnienia dostępu dane i operacje w chmurze. Aplikacja przyjmuje tożsamość konta usługi do wywoływania interfejsów API Google, dzięki czemu użytkownicy nie zaangażowane. Konta usługi same w sobie nie mogą być używane do uzyskiwania dostępu do użytkowników i skalowalnych danych. Konto usługi może jednak uzyskiwać dostęp do danych użytkownika przez implementowanie przekazywanie uprawnień w całej domenie. Szczegółowe informacje znajdziesz w sekcji Usługa konta .
- Przekazywanie uprawnień w całej domenie
- Funkcja administracyjna, która może autoryzować dostęp aplikacji do użytkownika w imieniu użytkowników z organizacji Google Workspace. W całej domenie przekazywania dostępu można używać do wykonywania zadań administracyjnych związanych z danymi użytkownika. Do przekazać uprawnienia w ten sposób, administratorzy Google Workspace korzystają z usługi kont z protokołem OAuth 2.0. Ze względu na potęgę tej funkcji tylko super administratorzy domeny mogą włączyć przekazywanie dostępu w całej domenie organu władzy. Więcej informacji znajdziesz w artykule Przekazywanie uprawnień do całej domeny usługa .
Zakresy interfejsu API REST Meet
Zakresy autoryzacji to uprawnienia, o których autoryzowanie prosisz użytkowników aplikację, aby uzyskać dostęp do treści spotkania. Gdy ktoś zainstaluje Twoją aplikację, poproszono o zweryfikowanie tych zakresów. Najlepiej wybrać większość zawężony zakres i nie wymagaj od aplikacji zakresów, nie jest wymagana. Użytkownicy mogą łatwiej przyznawać dostęp do ograniczonych, jasno opisanych kategorii i zakresu.
Interfejs Meet REST API obsługuje następujące zakresy protokołu OAuth 2.0:
| Kod zakresu | Opis | Wykorzystanie |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.readonly |
Zezwalaj aplikacjom na odczytywanie metadanych o dowolnym miejscu spotkań, do którego ma dostęp użytkownik. | Poufne |
https://www.googleapis.com/auth/meetings.space.created |
Zezwalaj aplikacjom na tworzenie, modyfikowanie i odczytywanie metadanych pokojów spotkań utworzonych przez Twoją aplikację. | Poufne |
https://www.googleapis.com/auth/drive.readonly |
Zezwalaj aplikacjom na pobieranie plików z nagraniami i transkrypcjami z interfejsu Google Drive API. | Z ograniczeniem |
Lista zakresów interfejsu Google Drive API:
| Kod zakresu | Opis | Wykorzystanie |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Wyświetlanie plików z Dysku utworzonych lub edytowanych w Google Meet. | Z ograniczeniem |
Kolumna Użycie w tabeli wskazuje czułość każdego zakresu zgodnie z następujące definicje:
Zalecane / wrażliwe: te zakresy dają dostęp do określonych usług Google autoryzowane przez niego dane aplikacji. Aby to zrobić, za pomocą dodatkowej weryfikacji aplikacji. Więcej informacji na temat tego wymogu znajdziesz w dokumentacji, Więcej informacji: Zakres wrażliwy i ograniczony Wymagania.
Z ograniczonym dostępem: te zakresy zapewniają szeroki dostęp do danych użytkowników Google oraz mogą wymagać przejścia procesu weryfikacji z ograniczonym zakresem. Dla: informacje na temat tego wymogu znajdziesz w artykule Dane użytkownika w usługach interfejsów API Google Zasady i dodatkowe wymagania dla konkretnego interfejsu API Zakresy. Jeśli na serwerach przechowujesz (lub przesyłają) dane zakresu z ograniczeniami, musisz przeprowadzić ocenę zabezpieczeń.
Jeśli aplikacja wymaga dostępu do innych interfejsów API Google, możesz dodać te zakresy . Więcej informacji o zakresach interfejsów API Google znajdziesz w artykule Używanie protokołu OAuth 2.0 do Dostęp do interfejsów API Google
Aby określić, jakie informacje mają być wyświetlane użytkownikom i weryfikatorom aplikacji, zapoznaj się z sekcją Skonfiguruj ekran zgody OAuth i wybierz .
Więcej informacji o konkretnych zakresach protokołu OAuth 2.0 znajdziesz w artykule Zakresy protokołu OAuth 2.0 dla interfejsów API Google.
Uwierzytelnianie i autoryzacja za pomocą przekazywania dostępu w całej domenie
Jeśli jesteś administratorem domeny, możesz przyznać przekazywanie dostępu w całej domenie do upoważnienia konto usługi aplikacji, aby uzyskać dostęp do danych, nie wymagając użytkownika do wyrażenia zgody. Po skonfigurowaniu przekazywania dostępu w całej domenie usługa konto może przyjmować tożsamość użytkownika . Mimo że do uwierzytelniania używane jest konto usługi, przekazywanie dostępu w całej domenie podszywa się pod użytkownika i dlatego jest uważane za uwierzytelnianie użytkownika. Dowolne Funkcja, która umożliwia uwierzytelnianie użytkowników, może korzystać z przekazywania dostępu w całej domenie.
Powiązane artykuły
Aby dowiedzieć się więcej o uwierzytelnianiu i autoryzacji w Google Workspace, Więcej informacji o uwierzytelnianiu autoryzacji.
Omówienie uwierzytelniania i autoryzacji w Google Cloud znajdziesz w artykule Metody uwierzytelniania dostępne w Google.