Xác thực và uỷ quyền các yêu cầu API REST của Meet

Xác thực và uỷ quyền là các cơ chế được dùng để xác minh danh tính và quyền truy cập vào các tài nguyên tương ứng. Tài liệu này trình bày cách xác thực và hoạt động uỷ quyền cho các yêu cầu API REST của Google Meet.

Hướng dẫn này giải thích cách sử dụng OAuth 2.0 bằng thông tin đăng nhập Google của người dùng để truy cập vào API REST của Meet. Xác thực và uỷ quyền bằng thông tin đăng nhập của người dùng để các ứng dụng Meet truy cập vào dữ liệu người dùng và thực hiện các thao tác thay mặt cho người dùng đã xác thực. Bằng cách bật tính năng xác thực thay mặt người dùng, ứng dụng sẽ có các quyền tương tự như người dùng đó và có thể thực hiện các hành động như thể chúng được thực hiện bởi người dùng đó.

Thuật ngữ quan trọng

Dưới đây là danh sách các thuật ngữ có liên quan đến việc xác thực và uỷ quyền:

Xác thực
Hành động đảm bảo rằng người dùng chính, có thể là người dùng hoặc ứng dụng hành động thay mặt cho người dùng, là người mà người dùng nói. Khi viết trên Google Workspace, bạn sẽ cần biết về các loại xác thực: xác thực người dùng và xác thực ứng dụng. Để Xin giới thiệu với API REST, bạn chỉ có thể xác thực bằng phương thức xác thực người dùng.
Uỷ quyền
Quyền hoặc "uỷ quyền" người quản lý có quyền truy cập hoặc thực hiện thao tác. Việc uỷ quyền được thực hiện thông qua mã bạn viết trong ứng dụng của bạn. Mã này thông báo cho người dùng rằng ứng dụng muốn thực hiện hành động trên và nếu được phép, sẽ sử dụng thông tin đăng nhập duy nhất của ứng dụng để lấy thông tin mã truy cập của Google để truy cập vào dữ liệu hoặc thực hiện các thao tác.
Tài khoản dịch vụ
Một loại Tài khoản Google đặc biệt dùng để đại diện cho người dùng không phải là con người cần xác thực và được uỷ quyền để truy cập dữ liệu và hoạt động trên đám mây. Ứng dụng của bạn giả định danh tính của tài khoản dịch vụ để gọi Google API, để người dùng không trực tiếp liên quan. Chỉ tài khoản dịch vụ không thể được sử dụng để truy cập người dùng . Tuy nhiên, tài khoản dịch vụ có thể truy cập vào dữ liệu người dùng bằng cách triển khai uỷ quyền trên toàn miền. Để biết chi tiết, hãy xem Dịch vụ tài khoản tổng quan.
Uỷ quyền trên toàn miền
Tính năng quản trị có thể cho phép ứng dụng truy cập vào người dùng thay mặt cho người dùng trong tổ chức Google Workspace. Toàn miền uỷ quyền có thể được sử dụng để thực hiện các tác vụ liên quan đến quản trị viên đối với dữ liệu người dùng. Người nhận uỷ quyền theo cách này, quản trị viên Google Workspace sẽ sử dụng dịch vụ tài khoản có OAuth 2.0. Do sức mạnh của tính năng này, chỉ có siêu quản trị viên của miền có thể bật tính năng uỷ quyền trên toàn miền cơ quan cấp chứng nhận. Để biết thêm thông tin, hãy tham khảo phần Uỷ quyền quyền trên toàn miền cho một dịch vụ tài khoản.

Đáp ứng các phạm vi của API REST

Phạm vi uỷ quyền là những quyền mà bạn yêu cầu người dùng uỷ quyền ứng dụng của bạn để truy cập vào nội dung cuộc họp. Khi ai đó cài đặt ứng dụng của bạn, người dùng được yêu cầu xác thực các phạm vi này. Thông thường, bạn nên chọn có thể tập trung hẹp phạm vi và tránh yêu cầu phạm vi mà ứng dụng của bạn không yêu cầu. Người dùng dễ dàng cấp quyền truy cập vào các nội dung giới hạn, được mô tả rõ ràng phạm vi.

API REST của Meet hỗ trợ các phạm vi OAuth 2.0 sau đây:

Mã phạm vi Mô tả Cách sử dụng
https://www.googleapis.com/auth/meetings.space.readonly Cho phép ứng dụng đọc siêu dữ liệu về mọi không gian họp mà người dùng có quyền truy cập. Nhạy cảm
https://www.googleapis.com/auth/meetings.space.created Cho phép các ứng dụng tạo, sửa đổi và đọc siêu dữ liệu về không gian họp do ứng dụng của bạn tạo. Nhạy cảm
https://www.googleapis.com/auth/drive.readonly Cho phép các ứng dụng tải các tệp bản ghi âm và bản chép lời xuống từ API Google Drive. Bị hạn chế

Phạm vi OAuth 2.0 tương thích với Meet sau đây nằm trong Danh sách các phạm vi của API Google Drive:

Mã phạm vi Mô tả Cách sử dụng
https://www.googleapis.com/auth/drive.meet.readonly Xem các tệp trên Drive do Google Meet tạo hoặc chỉnh sửa. Bị hạn chế

Cột Sử dụng trong bảng cho biết mức độ nhạy cảm của từng phạm vi, theo thành các định nghĩa sau:

  • Đề xuất / Nhạy cảm: Các phạm vi này cấp quyền truy cập vào các dịch vụ dữ liệu người dùng được người dùng uỷ quyền cho ứng dụng của bạn. Bạn cần tham gia thông qua việc xác minh ứng dụng bổ sung. Để biết thông tin về yêu cầu này, xem Phạm vi nhạy cảm và bị hạn chế Các yêu cầu.

  • Bị hạn chế: Các phạm vi này cấp quyền truy cập rộng rãi vào dữ liệu người dùng Google và yêu cầu bạn thực hiện quy trình xác minh trong phạm vi hạn chế. Để thông tin về yêu cầu này, hãy xem Dữ liệu người dùng của các dịch vụ API của Google Chính sáchYêu cầu bổ sung cho API cụ thể Phạm vi. Nếu lưu trữ dữ liệu trong phạm vi bị hạn chế trên máy chủ (hoặc máy chủ truyền dữ liệu), bạn phải sẽ trải qua quy trình đánh giá bảo mật.

Nếu ứng dụng của bạn yêu cầu quyền truy cập vào bất kỳ API nào khác của Google, bạn có thể thêm các phạm vi đó của Google. Để biết thêm thông tin về các phạm vi API của Google, hãy xem bài viết Sử dụng OAuth 2.0 để Truy cập API của Google.

Để xác định thông tin nào sẽ hiển thị cho người dùng và người đánh giá ứng dụng, hãy xem Định cấu hình màn hình xin phép bằng OAuth rồi chọn các phạm vi.

Để biết thêm thông tin về các phạm vi OAuth 2.0 cụ thể, hãy xem phần Các phạm vi của OAuth 2.0 cho API của Google.

Xác thực và uỷ quyền bằng cách sử dụng tính năng uỷ quyền trên toàn miền

Nếu là quản trị viên miền, bạn có thể cấp uỷ quyền trên toàn miền thẩm quyền để cấp phép cho một tài khoản dịch vụ của ứng dụng để truy cập mà không yêu cầu từng người dùng đồng ý. Sau khi bạn định cấu hình uỷ quyền trên toàn miền, dịch vụ tài khoản có thể mạo danh người dùng tài khoản. Mặc dù tài khoản dịch vụ được dùng để xác thực, nhưng việc uỷ quyền trên toàn miền mạo danh người dùng và do đó được coi là xác thực người dùng. Bất kỳ hạng nào cho phép xác thực người dùng có thể sử dụng phương thức uỷ quyền trên toàn miền.