创建访问凭据

凭据用于从 Google 的授权服务器获取访问令牌,以便您的应用可以调用 Google Workspace API。本指南介绍了如何选择和设置您的应用所需的凭据。

如需查看本页中术语的定义,请参阅身份验证和授权概览

选择适合您的访问凭据

所需的凭据取决于应用的数据类型、平台和访问方法。可用的凭据类型有三种:

使用场景 身份验证方法 关于此身份验证方法
在您的应用中以匿名方式访问公开提供的数据。 API 密钥 在使用此身份验证方法之前,请检查您要使用的 API 是否支持 API 密钥。
访问用户数据,例如电子邮件地址或年龄。 OAuth 客户端 ID 需要您的应用向用户请求并获得同意。
访问属于您自己的应用的数据,或通过全网域授权代表 Google Workspace 或 Cloud Identity 用户访问资源。 服务账号 当应用以服务帐号的身份进行身份验证时,它有权访问服务帐号有权访问的所有资源。

API 密钥凭据

API 密钥是包含大小写字母、数字、下划线和连字符的长字符串,例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。此身份验证方法用于匿名访问公开的数据,例如使用“互联网上知道此链接的任何人”共享设置共享的 Google Workspace 文件。如需了解详情,请参阅使用 API 密钥

如需创建 API 密钥,请执行以下操作:

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > API 密钥
  3. 系统随即会显示您的新 API 密钥。
    • 点击“复制”图标 以复制要在应用代码中使用的 API 密钥。您还可以在项目凭据的“API 密钥”部分找到 API 密钥。
    • 点击限制密钥,以更新高级设置并限制 API 密钥的使用。如需了解详情,请参阅应用 API 密钥限制

OAuth 客户端 ID 凭据

如需在您的应用中对最终用户进行身份验证并访问用户数据,您需要创建一个或多个 OAuth 2.0 客户端 ID。客户端 ID 用于向 Google 的 OAuth 服务器标识单个应用。如果您的应用在多个平台上运行,您必须为每个平台创建单独的客户端 ID。

请选择您的应用类型,了解有关如何创建 OAuth 客户端 ID 的具体说明:

Web 应用

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 点击应用类型 > Web 应用
  4. 名称字段中,输入凭据的名称。此名称只会显示在 Google Cloud 控制台中。
  5. 添加与您的应用相关的已获授权 URI:
    • 客户端应用 (JavaScript) - 在已获授权的 JavaScript 来源下,点击添加 URI。然后,输入用于浏览器请求的 URI。用于标识可供您的应用从哪些网域向 OAuth 2.0 服务器发送 API 请求。
    • 服务器端应用(Java、Python 等)- 在已获授权的重定向 URI 下方,点击添加 URI。然后,输入 OAuth 2.0 服务器可向其发送响应的端点 URI。
  6. 点击创建。系统会显示 OAuth 客户端已创建屏幕,其中显示了您的新客户端 ID 和客户端密钥。

    记下客户端 ID。客户端密钥不用于 Web 应用。

  7. 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下方。

Android

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > Android
  4. 在“名称”字段中,输入凭据的名称。此名称只会显示在 Google Cloud 控制台中。
  5. 在“软件包名称”字段中,输入 AndroidManifest.xml 文件中的软件包名称。
  6. 在“SHA-1 证书指纹”字段中,输入生成的 SHA-1 证书指纹
  7. 点击创建。系统会显示 OAuth 客户端已创建屏幕,其中显示了您的新客户端 ID。
  8. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下方。

iOS

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > iOS
  4. 在“名称”字段中,输入凭据的名称。此名称只会显示在 Google Cloud 控制台中。
  5. 在“软件包 ID”字段中,输入应用的 Info.plist 文件中列出的软件包标识符。
  6. 可选:如果您的应用显示在 Apple App Store,请输入 App Store ID。
  7. 可选:在“Team ID”(团队 ID)字段中,输入由 Apple 生成并分配给您的团队的唯一 10 个字符的字符串。
  8. 点击创建。系统会显示 OAuth 客户端已创建屏幕,其中显示了您的新客户端 ID 和客户端密钥。
  9. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下方。

Chrome 应用

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 点击应用类型 > Chrome 应用
  4. 在“名称”字段中,输入凭据的名称。此名称只会显示在 Google Cloud 控制台中。
  5. 在“应用 ID”字段中,输入由 32 个字符组成的唯一 ID 字符串。您可以在您应用的 Chrome 应用商店网址和 Chrome 应用商店开发者信息中心内找到此 ID 值。
  6. 点击创建。系统会显示 OAuth 客户端已创建屏幕,其中显示了您的新客户端 ID 和客户端密钥。
  7. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下方。

桌面应用

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > 桌面应用
  4. 名称字段中,输入凭据的名称。此名称只会显示在 Google Cloud 控制台中。
  5. 点击创建。系统会显示 OAuth 客户端已创建屏幕,其中显示了您的新客户端 ID 和客户端密钥。
  6. 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下方。

电视和受限输入设备

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > 电视和受限输入设备
  4. 在“名称”字段中,输入凭据的名称。此名称只会显示在 Google Cloud 控制台中。
  5. 点击创建。系统会显示 OAuth 客户端已创建屏幕,其中显示了您的新客户端 ID 和客户端密钥。
  6. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下方。

通用 Windows 平台 (UWP)

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > 通用 Windows 平台 (UWP)
  4. 在“名称”字段中,输入凭据的名称。此名称只会显示在 Google Cloud 控制台中。
  5. 在“商店 ID”字段中,输入应用的唯一 12 个字符的 Microsoft Store ID 值。您可以在应用的 Microsoft Store 网址和合作伙伴中心内找到此 ID。
  6. 点击创建。系统会显示 OAuth 客户端已创建屏幕,其中显示了您的新客户端 ID 和客户端密钥。
  7. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下方。

服务账号凭据

服务帐号是应用(而不是个人)使用的特殊帐号。您可以使用服务帐号访问数据或由机器人帐号执行操作,或者代表 Google Workspace 或 Cloud Identity 用户访问数据。如需了解详情,请参阅了解服务帐号

创建服务账号

Google Cloud 控制台

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > IAM 和管理 > 服务帐号

    进入“服务账号”

  2. 点击创建服务账号
  3. 填写服务帐号详细信息,然后点击创建并继续
  4. 可选:为您的服务账号分配角色,以授予对 Google Cloud 项目资源的访问权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限
  5. 点击继续
  6. 可选:输入可以使用此服务账号管理和执行操作的用户或群组。如需了解详情,请参阅管理服务帐号模拟
  7. 点击完成。记下服务帐号的电子邮件地址。

gcloud CLI

  1. 创建服务帐号:
    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
      --display-name="SERVICE_ACCOUNT_NAME"
  2. 可选:为您的服务账号分配角色,以授予对 Google Cloud 项目资源的访问权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限

为服务帐号分配角色

您必须由超级用户帐号为服务帐号分配预建角色或自定义角色。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 > 帐号 > 管理员角色

    前往“管理员角色”

  2. 将光标指向要分配的角色,然后点击分配管理员角色

  3. 点击分配服务账号

  4. 输入服务帐号的电子邮件地址。

  5. 依次点击添加 > 分配角色

为服务账号创建凭据

您需要以公钥/私钥对的形式获取凭据。您的代码使用这些凭据向应用中的服务帐号操作授权。

如需获取服务帐号的凭据,请执行以下操作:

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > IAM 和管理 > 服务帐号

    进入“服务账号”

  2. 选择您的服务帐号。
  3. 依次点击密钥 > 添加密钥 > 创建新密钥
  4. 选择 JSON,然后点击创建

    系统会生成新的公钥/私钥对,并将其作为新文件下载到您的计算机。将下载的 JSON 文件另存为 credentials.json 到您的工作目录中。此文件是此密钥的唯一副本。如需了解如何安全地存储密钥,请参阅管理服务帐号密钥

  5. 点击关闭

可选:为服务帐号设置全网域授权功能

如需代表 Google Workspace 组织中的用户调用 API,您的服务帐号需要由超级用户帐号在 Google Workspace 管理控制台中获得全网域授权委托。如需了解详情,请参阅将全网域授权委派给服务帐号

如需为服务帐号设置全网域授权委托,请执行以下操作:

  1. 在 Google Cloud 控制台中,依次点击“菜单”图标 > IAM 和管理 > 服务帐号

    进入“服务账号”

  2. 选择您的服务帐号。
  3. 点击显示高级设置
  4. 在“全网域授权”下,找到您的服务帐号的“客户端 ID”。点击“Copy ”,将客户端 ID 值复制到剪贴板。
  5. 如果您拥有相关 Google Workspace 账号的超级用户访问权限,请点击查看 Google Workspace 管理控制台,然后使用超级用户账号登录并继续执行后续步骤。

    如果您没有相关 Google Workspace 账号的超级用户访问权限,请与该账号的超级用户联系,并向他们发送您的服务账号的客户端 ID 和 OAuth 范围列表,以便他们在管理控制台中完成以下步骤。

    1. 在 Google 管理控制台中,依次点击“菜单”图标 > 安全性 > 访问权限和数据控制 > API 控件

      前往“API 控件”

    2. 点击管理全网域授权
    3. 点击新增
    4. 在“客户端 ID”字段中,粘贴您之前复制的客户端 ID。
    5. 在“OAuth 范围”字段中,输入您的应用所需的范围列表(以英文逗号分隔)。这组范围与您在配置 OAuth 权限请求页面时定义的范围相同。
    6. 点击授权

后续步骤

您现在可以在 Google Workspace 上进行开发了!查看 Google Workspace 开发者产品列表以及如何寻求帮助