Xác thực và uỷ quyền là các cơ chế dùng để xác minh danh tính và quyền truy cập vào tài nguyên. Tài liệu này trình bày cách hoạt động của quy trình xác thực và uỷ quyền cho các yêu cầu API REST của Google Meet.
Hướng dẫn này giải thích cách sử dụng OAuth 2.0 bằng thông tin đăng nhập Google của người dùng để truy cập vào API REST của Meet. Việc xác thực và cấp phép bằng thông tin xác thực của người dùng cho phép các ứng dụng Meet truy cập vào dữ liệu người dùng và thay mặt người dùng đã xác thực thực hiện các thao tác. Bằng cách xác thực thay mặt người dùng, ứng dụng có các quyền tương tự như người dùng đó và có thể thực hiện các hành động như thể người dùng đó đã thực hiện.
Thuật ngữ quan trọng
Sau đây là danh sách các thuật ngữ liên quan đến việc xác thực và uỷ quyền:
- Xác thực
Hành động đảm bảo rằng chủ thể, có thể là người dùng
hoặc ứng dụng hành động thay mặt cho người dùng, là người mà người dùng nói. Khi viết ứng dụng Google Workspace, bạn cần lưu ý các loại xác thực sau: xác thực người dùng và xác thực ứng dụng. Đối với API Meet REST, bạn chỉ có thể xác thực bằng phương thức xác thực người dùng.
- Uỷ quyền
Các quyền hoặc "thẩm quyền" mà người ủy quyền có để truy cập
dữ liệu hoặc thực hiện các thao tác. Việc uỷ quyền được thực hiện thông qua mã bạn viết trong ứng dụng. Mã này thông báo cho người dùng rằng ứng dụng muốn thay mặt họ hành động và nếu được cho phép, sẽ sử dụng thông tin xác thực duy nhất của ứng dụng để lấy mã truy cập từ Google nhằm truy cập dữ liệu hoặc thực hiện các thao tác.
Đáp ứng các phạm vi của API REST
Phạm vi uỷ quyền là các quyền mà bạn yêu cầu người dùng uỷ quyền để ứng dụng của bạn truy cập vào nội dung cuộc họp. Khi có người cài đặt ứng dụng của bạn, người dùng sẽ được yêu cầu xác thực các phạm vi này. Nhìn chung, bạn nên chọn phạm vi tập trung hẹp nhất có thể và tránh yêu cầu các phạm vi mà ứng dụng không yêu cầu. Người dùng sẵn sàng cấp quyền truy cập vào các phạm vi hạn chế, được mô tả rõ ràng hơn.
API REST của Meet hỗ trợ các phạm vi OAuth 2.0 sau đây:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.readonly |
Cho phép ứng dụng đọc siêu dữ liệu về mọi không gian họp mà người dùng có quyền truy cập. | Nhạy cảm |
https://www.googleapis.com/auth/meetings.space.created |
Cho phép các ứng dụng tạo, sửa đổi và đọc siêu dữ liệu về không gian họp do ứng dụng của bạn tạo. | Nhạy cảm |
https://www.googleapis.com/auth/drive.readonly |
Cho phép ứng dụng tải tệp bản ghi âm và bản chép lời xuống từ API Google Drive. | Bị hạn chế |
Phạm vi OAuth 2.0 liên quan đến Meet sau đây nằm trong danh sách phạm vi API Google Drive:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Xem các tệp trên Drive do Google Meet tạo hoặc chỉnh sửa. | Bị hạn chế |
Cột Mức sử dụng trong bảng cho biết độ nhạy của từng phạm vi, theo các định nghĩa sau:
Nhạy cảm: Các phạm vi này cấp quyền truy cập vào dữ liệu cụ thể của người dùng Google mà người dùng đã uỷ quyền cho ứng dụng của bạn. Việc này yêu cầu bạn thực hiện quy trình xác minh ứng dụng bổ sung. Để biết thông tin về yêu cầu này, hãy xem phần Yêu cầu về phạm vi nhạy cảm và bị hạn chế.
Bị hạn chế: Các phạm vi này cấp quyền truy cập rộng rãi vào dữ liệu người dùng trên Google và yêu cầu bạn phải thực hiện quy trình xác minh phạm vi có hạn chế. Để biết thông tin về yêu cầu này, hãy xem Chính sách dữ liệu người dùng của Dịch vụ API của Google và Các yêu cầu bổ sung cho phạm vi API cụ thể. Nếu lưu trữ dữ liệu thuộc phạm vi bị hạn chế trên máy chủ (hoặc truyền dữ liệu), thì bạn phải thực hiện quy trình đánh giá bảo mật.
Nếu ứng dụng của bạn yêu cầu quyền truy cập vào bất kỳ API nào khác của Google, bạn cũng có thể thêm các phạm vi đó. Để biết thêm thông tin về phạm vi API của Google, hãy xem bài viết Sử dụng OAuth 2.0 để truy cập vào API của Google.
Để xác định thông tin nào sẽ hiển thị cho người dùng và người đánh giá ứng dụng, hãy xem phần Định cấu hình màn hình xin phép bằng OAuth và chọn phạm vi.
Để biết thêm thông tin về các phạm vi OAuth 2.0 cụ thể, hãy xem bài viết Phạm vi OAuth 2.0 cho API Google.
Xác thực và uỷ quyền bằng cách uỷ quyền trên toàn miền
Nếu là quản trị viên miền, bạn có thể cấp quyền uỷ quyền trên toàn miền để cho phép tài khoản dịch vụ của ứng dụng truy cập vào dữ liệu của người dùng mà không yêu cầu từng người dùng phải đồng ý. Sau khi bạn thiết lập tính năng uỷ quyền trên toàn miền, tài khoản dịch vụ có thể mạo danh tài khoản người dùng. Mặc dù tài khoản dịch vụ được dùng để xác thực, nhưng tính năng uỷ quyền trên toàn miền sẽ mạo danh người dùng và do đó được coi là xác thực người dùng. Mọi tính năng yêu cầu xác thực người dùng đều có thể sử dụng tính năng uỷ quyền trên toàn miền.
Chủ đề có liên quan
Để biết thông tin tổng quan về việc xác thực và uỷ quyền trong Google Workspace, hãy xem bài viết Tìm hiểu về việc xác thực và uỷ quyền.
Để biết thông tin tổng quan về việc xác thực và uỷ quyền trong Google Cloud, hãy xem bài viết Các phương thức xác thực tại Google.