本文件提供 Google Drive API 的專屬授權和驗證資訊。閱讀本文件之前,請務必先參閱「瞭解驗證和授權」一文中 Google Workspace 的一般驗證和授權資訊。
設定授權所需的 OAuth 2.0
設定 OAuth 同意畫面並選擇範圍,定義要向使用者和應用程式審查者顯示的資訊,並註冊應用程式以供日後發布。
Drive API 範圍
如要定義授予應用程式的存取層級,您必須識別並宣告授權範圍。授權範圍是 OAuth 2.0 URI 字串,其中包含 Google Workspace 應用程式名稱、它存取的資料類型,以及存取層級。「範圍」是指應用程式為了處理 Google Workspace 資料而提出的要求,包括使用者的 Google 帳戶資料。
應用程式安裝時,系統會要求使用者驗證應用程式使用的範圍。一般而言,您應選擇最精確的範圍,避免要求應用程式不需要的範圍。使用者較能清楚地將存取權授予有限、清楚描述的範圍。
如果可以,建議您使用非機密範圍,因為此範圍會授予每個檔案的存取權範圍,並縮小應用程式所需的特定功能的存取權。
Drive API 支援下列範圍:
| 範圍程式碼 | 說明 | 用量 |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
在 Google 雲端硬碟中查看及管理應用程式本身的設定資料。 | 建議 不敏感 |
https://www.googleapis.com/auth/drive.install |
允許應用程式顯示在「選擇開啟工具」或「新增」選單中。 | 建議 不敏感 |
https://www.googleapis.com/auth/drive.file |
您可以建立新的雲端硬碟檔案或修改現有檔案,這類檔案包括您使用應用程式開啟,或是使用者透過 Google Picker API 或應用程式的檔案選擇器與應用程式共用的檔案。 | 建議 不敏感 |
https://www.googleapis.com/auth/drive.apps.readonly |
查看有權存取雲端硬碟的應用程式。 | 敏感內容 |
https://www.googleapis.com/auth/drive |
查看及管理所有雲端硬碟檔案。 | 受限制 |
https://www.googleapis.com/auth/drive.readonly |
查看及下載所有的雲端硬碟檔案。 | 受限制 |
https://www.googleapis.com/auth/drive.activity |
查看及新增雲端硬碟檔案的活動記錄。 | 受限制 |
https://www.googleapis.com/auth/drive.activity.readonly |
查看雲端硬碟檔案的活動記錄。 | 受限制 |
https://www.googleapis.com/auth/drive.meet.readonly |
查看透過 Google Meet 建立或編輯的雲端硬碟檔案。 | 受限制 |
https://www.googleapis.com/auth/drive.metadata |
查看及管理雲端硬碟檔案的中繼資料。 | 受限制 |
https://www.googleapis.com/auth/drive.metadata.readonly |
查看雲端硬碟檔案的中繼資料。 | 受限制 |
https://www.googleapis.com/auth/drive.scripts |
修改 Google Apps Script 指令碼的行為。 | 受限制 |
上表中的「Usage」欄會根據下列定義指出每個範圍的機密程度:
建議 / 非敏感性:這些範圍提供最小的授權存取權範圍,且只需要基本應用程式驗證。如要進一步瞭解這項規定,請參閱驗證規定。
建議 / 機密:這些範圍可讓使用者存取獲得應用程式使用者授權的特定 Google 使用者資料。您需要通過額外應用程式驗證。如要瞭解這項規定,請參閱敏感和受限制範圍規定。
受限制:這些範圍可廣泛存取 Google 使用者資料,因此您必須完成受限制的範圍驗證程序。如要進一步瞭解這項規定,請參閱 Google API 服務使用者資料政策和特定 API 範圍的附加規定。如果您將受限制的範圍資料儲存在伺服器上 (或傳輸),就必須進行安全性評估。
如果您的應用程式需要存取任何其他 Google API,您也可以新增這些範圍。如要進一步瞭解 Google API 範圍,請參閱使用 OAuth 2.0 存取 Google API。
如要進一步瞭解特定 OAuth 2.0 範圍,請參閱 Google API 適用的 OAuth 2.0 範圍。
OAuth 驗證
使用特定 OAuth 範圍時,應用程式可能需要完成 OAuth 應用程式驗證說明中心的流程。請參閱 OAuth 應用程式常見問題,決定應用程式何時應進行驗證,以及需要哪些類型的驗證。另請參閱《Google 雲端硬碟服務條款》。
使用受限範圍的時機
針對雲端硬碟,只有下列應用程式類型能存取受限制的範圍:
- 提供本機同步處理或自動備份使用者雲端硬碟檔案的平台專屬網頁應用程式。
- 生產力和教育應用程式,其使用者介面可能包含與雲端硬碟檔案 (或其中繼資料或權限) 互動。效率提升應用程式包括工作管理、記事、工作小組通訊,以及課堂協作應用程式。
- 使用者或客戶深入分析檔案共用或存取方式的報表和安全性應用程式。
如要繼續使用受限制範圍,您應為應用程式進行受限制範圍驗證的準備工作。
將現有應用程式從受限制的範圍遷移
如果您已使用任何限制範圍開發雲端硬碟應用程式,建議您遷移應用程式,改用非敏感範圍,因為此範圍會授予每個檔案的存取權範圍,並縮小應用程式所需特定功能的存取權。許多應用程式都可在未進行任何變更的情況下使用每個檔案存取權。如果您使用自己的檔案選擇器,建議改用完整支援不同範圍的 Google Picker API。
「drive.file」OAuth 範圍的優點
使用 drive.file OAuth 範圍和 Google Picker API 可最佳化應用程式的使用者體驗和安全性。
drive.file OAuth 範圍可讓使用者選擇要與應用程式共用的檔案。如此一來,他們就能進一步掌控應用程式存取檔案的權限,讓他們更有把握地存取檔案。相反地,要求大範圍存取所有雲端硬碟檔案可能會妨礙使用者與應用程式互動。以下是使用 drive.file 範圍的一些原因:
可用性:
drive.file範圍適用於所有 Drive API REST 資源,因此您可以使用範圍更廣的 OAuth 範圍。功能:Google Picker API 提供與雲端硬碟 UI 類似的介面。這包括多個顯示雲端硬碟檔案預覽和縮圖的檢視畫面,以及內嵌強制回應視窗,讓使用者絕不會離開主要應用程式。
便利:應用程式可使用 Google Picker 檔案篩選器,對特定雲端硬碟檔案類型 (例如 Google 文件、試算表和簡報) 套用篩選器。
此外,由於 drive.file 不機密,因此可以簡化驗證程序。
儲存重新整理權杖
將更新權杖儲存在安全的長期儲存空間,且只要保持有效狀態,就能繼續使用。