本文档包含 API 专属授权和身份验证信息。在阅读本文档之前,请务必阅读在 Google Workspace 中开发中的一般身份验证和授权信息。
我的应用需要哪个或哪些范围?
安装应用时,系统会要求用户验证应用使用的作用域。通常,您应该尽可能选择最窄的作用域,并避免请求不需要的作用域。用户更容易授予对有限清晰描述的范围的访问权限。
我们建议尽可能使用非敏感范围,因为它可以授予每个文件的访问权限范围,并缩小对应用所需特定功能的访问权限。
Google 云端硬盘范围
Drive API 支持以下范围:
| 范围代码 | 说明 | 用法 |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
在 Google 云端硬盘中查看和管理应用自己的配置数据。 | 建议 非敏感内容 |
https://www.googleapis.com/auth/drive.install |
允许应用在“打开方式”或“新建”菜单中显示为一个选项。 | 建议 非敏感内容 |
https://www.googleapis.com/auth/drive.file |
查看和管理您用应用打开或创建的云端硬盘文件和文件夹。 | 建议 非敏感内容 |
https://www.googleapis.com/auth/auth/drive.apps.readonly |
查看有权访问您的云端硬盘的应用。 | 敏感内容 |
https://www.googleapis.com/auth/drive |
查看和管理您的所有云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.metadata |
查看和管理云端硬盘中的文件的文件元数据。 | 受限 |
https://www.googleapis.com/auth/drive.metadata.readonly |
查看云端硬盘中文件的元数据。 | 受限 |
https://www.googleapis.com/auth/drive.readonly |
查看和下载您的所有云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.scripts |
修改 Google Apps 脚本脚本的行为。 | 受限 |
上表中的“用量”列根据以下定义指示每个范围的灵敏度:
推荐 / 非敏感 - 这些范围提供最小的授权范围,并且仅需要基本应用验证。如需了解此要求,请参阅为验证做好准备的步骤。
建议 / 敏感 - 这些范围提供对您应用的用户授权的特定 Google 用户数据的访问权限。您需要完成额外的应用验证。如需了解此要求,请参阅针对请求敏感范围的应用的步骤
受限 - 这些范围提供对 Google 用户数据的广泛访问权限,并要求您完成受限范围验证流程。如需了解此要求,请参阅 Google API 服务:用户数据政策和针对特定 API 范围的其他要求。如果您在服务器上存储(或传输)受限范围数据,则必须接受安全性评估。
如果您的应用需要访问任何其他 Google API,您也可以添加这些范围。如需详细了解 Google API 范围,请参阅使用 OAuth 2.0 访问 Google API。
如需详细了解特定的 OAuth 2.0 范围,请参阅 Google API 的 OAuth 2.0 范围。
OAuth 验证
使用某些 OAuth 范围可能需要您的应用完成 Google 的 OAuth 验证流程。阅读 OAuth API 验证常见问题解答,确定您的应用应在何时接受验证,以及需要进行哪种验证。另请参阅 Google 云端硬盘附加服务条款。
何时使用受限范围
对于云端硬盘,只有以下应用类型可以访问受限范围:
- 特定于平台的应用和 Web 应用,提供用户云端硬盘文件的本地同步或自动备份。
- 效率和教育应用,其界面可能涉及与云端硬盘文件(或其元数据或权限)的互动。效率应用包括任务管理、记事、工作组沟通和课堂协作应用。
- 可让用户或客户深入了解文件的共享或访问方式的报告和安全应用。
如需继续使用受限范围,您应为应用进行受限范围验证做好准备。
从受限范围迁移现有应用
如果您使用任何受限范围开发了一个云端硬盘应用,我们建议您将应用迁移到非敏感范围,因为它会授予每个文件的访问权限范围并缩小应用所需的特定功能的访问权限。许多应用无需更改即可处理每个文件的访问权限。如果您目前使用的是文件选择器,我们建议您改用完全支持不同范围的 Google Picker API。
保存刷新令牌
将刷新令牌保存在安全的长期存储空间中,并且只要这些令牌保持有效,即可继续使用它们。