对 Meet REST API 请求进行身份验证和授权

身份验证和授权是分别用于验证身份和资源访问权限的机制。本文档概述了 Google Meet REST API 请求的身份验证和授权机制。

本指南介绍了如何使用 OAuth 2.0 和用户的 Google 凭据来访问 Meet REST API。通过用户凭据进行身份验证和授权后,Meet 应用可以访问用户数据并代表经过身份验证的用户执行操作。通过代表用户进行身份验证,应用将拥有与该用户相同的权限,并且可以执行操作,就好像这些操作是由该用户执行的一样。

重要术语

以下是与身份验证和授权相关的术语列表:

Authentication

确保正文(可以是用户)

或代表用户行事的应用,是否是他们声称的身份。编写 Google Workspace 应用时,您应了解以下类型的身份验证:用户身份验证和应用身份验证。对于 Meet REST API,您只能使用用户身份验证进行身份验证。

授权

主账号访问资源所需的权限或“授权”

数据或执行操作。授权通过您在应用中编写的代码完成。此代码会告知用户应用希望代表其执行操作,如果用户允许,则会使用应用的唯一凭据从 Google 获取访问令牌,以访问数据或执行操作。

Meet REST API 范围

授权范围是指您请求用户授权您的应用访问会议内容的权限。当有人安装您的应用时,系统会要求用户验证这些范围。通常情况下,您应尽可能选择范围最窄的权限,并避免请求应用不需要的权限。用户更乐意向描述清晰的有限范围授予访问权限。

Meet REST API 支持以下 OAuth 2.0 范围:

范围代码 说明 用法
https://www.googleapis.com/auth/meetings.space.settings 修改并查看所有 Google Meet 通话的设置。 非敏感
https://www.googleapis.com/auth/meetings.space.created 允许应用创建、修改和读取有关应用创建的会议室的元数据。 敏感
https://www.googleapis.com/auth/meetings.space.readonly 允许应用读取用户有权访问的任何会议室的相关元数据。 敏感
https://www.googleapis.com/auth/drive.readonly 允许应用通过 Google Drive API 下载录制内容和转写文件。 受限

以下与 Meet 相关的 OAuth 2.0 范围位于 Google Drive API 范围列表中:

范围代码 说明 用法
https://www.googleapis.com/auth/drive.meet.readonly 查看由 Google Meet 创建或修改的云端硬盘文件。 受限

下表中的“用途”列根据以下定义指明了每个范围的敏感程度:

  • 非敏感:这些范围提供的授权访问权限范围最小,仅需要进行基本应用验证。如需了解详情,请参阅验证要求

  • 敏感:这些范围可让您的应用访问用户授权的特定 Google 用户数据。您需要完成额外的应用验证。如需了解详情,请参阅敏感范围和受限范围要求

  • 受限:这些范围可广泛访问 Google 用户数据,因此您需要完成受限范围验证流程。如需了解详情,请参阅 Google API 服务用户数据政策特定 API 范围的其他要求。 如果您在服务器上存储(或传输)受限范围的数据,则必须接受安全性评估。

如果您的应用需要访问任何其他 Google API,您也可以添加这些范围。如需详细了解 Google API 范围,请参阅使用 OAuth 2.0 访问 Google API

如需定义向用户和应用审核者显示哪些信息,请参阅配置 OAuth 权限请求页面并选择范围

如需详细了解特定的 OAuth 2.0 范围,请参阅适用于 Google API 的 OAuth 2.0 范围

使用全网域授权进行身份验证和授权

如果您是网域管理员,则可以授予全网域授权,以授权应用的某个服务账号访问您用户的数据,而无需每位用户都同意。配置全网域委托后,服务账号可以模拟用户账号。 虽然服务账号用于身份验证,但全网域授权会模拟用户,因此被视为用户身份验证。任何需要用户身份验证的功能都可以使用全网域授权。