驗證和授權機制分別用於驗證身分和資源存取權。本文將概略說明 Google Meet REST API 要求的驗證和授權機制。
本指南說明如何使用 OAuth 2.0 和使用者的 Google 憑證,存取 Meet REST API。使用使用者憑證進行驗證和授權後,Meet 應用程式就能存取使用者資料,並代表已驗證的使用者執行作業。應用程式會代表使用者進行驗證,因此具備與該使用者相同的權限,並可執行該使用者執行的動作。
重要術語
以下是與驗證和授權相關的術語清單:
- 驗證
確保能成為使用者的「主體」
或代表使用者執行動作的應用程式,編寫 Google Workspace 應用程式時,請注意以下這兩種驗證類型:使用者驗證和應用程式驗證。針對 Meet REST API,您只能使用使用者驗證進行驗證。
- 授權
主體擁有的權限或「授權」
資料或執行作業。授權程序會透過您在應用程式中編寫的程式碼執行。此程式碼會告知使用者,應用程式希望代為執行操作,並在獲得使用者許可後,使用應用程式的專屬憑證,從 Google 取得存取權權杖,以便存取資料或執行作業。
符合 REST API 範圍
授權範圍是指您要求使用者授權應用程式存取會議內容的權限。當使用者安裝您的應用程式時,系統會要求使用者驗證這些權限範圍。一般來說,您應盡可能選擇範圍最狹窄的範圍,避免要求應用程式不需要的範圍。使用者更願意授予明確描述的有限範圍存取權。
Meet REST API 支援下列 OAuth 2.0 範圍:
| 範圍程式碼 | 說明 | 用量 |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.readonly |
允許應用程式讀取使用者可存取的任何會議室中繼資料。 | 敏感內容 |
https://www.googleapis.com/auth/meetings.space.created |
允許應用程式建立、修改及讀取應用程式建立的會議聊天室中繼資料。 | 敏感內容 |
https://www.googleapis.com/auth/drive.readonly |
允許應用程式從 Google 雲端硬碟 API 下載錄音和轉錄檔案。 | 受限制 |
以下 Meet 相關 OAuth 2.0 範圍位於 Google 雲端硬碟 API 範圍清單中:
| 範圍代碼 | 說明 | 用量 |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
查看透過 Google Meet 建立或編輯的雲端硬碟檔案。 | 受限制 |
表格中的「用途」欄會根據下列定義,指出每個範圍的敏感度:
機密:這些範圍可提供存取特定 Google 使用者資料的權限,這些資料是使用者授權給應用程式的。您必須進行額外的應用程式驗證。如要瞭解這項規定,請參閱「敏感和受限制的範圍規定」。
受限制:這些範圍可廣泛存取 Google 使用者資料,且需要您完成受限制範圍驗證程序。如要進一步瞭解這項規定,請參閱 Google API 服務使用者資料政策和特定 API 範圍的附加規定。如果您在伺服器上儲存 (或傳輸) 受限制範圍的資料,就必須接受安全性評估。
如果應用程式需要存取其他 Google API,您也可以新增這些範圍。如要進一步瞭解 Google API 範圍,請參閱「使用 OAuth 2.0 存取 Google API」。
如要定義要向使用者和應用程式審查人員顯示哪些資訊,請參閱「設定 OAuth 同意畫面並選擇範圍」。
如要進一步瞭解特定 OAuth 2.0 範圍,請參閱「Google API 適用的 OAuth 2.0 範圍」。
使用全網域委派功能進行驗證和授權
如果您是網域管理員,可以授予全網域委派權限,授權應用程式的服務帳戶存取使用者資料,且不必經過使用者同意。設定全網域委派功能後,服務帳戶可以冒用使用者帳戶。雖然服務帳戶用於驗證,但全網域委派會冒用使用者身分,因此屬於使用者驗證。任何需要使用者驗證的功能都可以使用全網域委派功能。
相關主題
如需 Google Workspace 中的驗證和授權總覽,請參閱瞭解驗證和授權。
如要瞭解 Google Cloud 中的驗證和授權,請參閱「Google 的驗證方式」。