Ten dokument zawiera informacje dotyczące autoryzacji i uwierzytelniania interfejsu API Dysku Google. Przed przeczytaniem tego dokumentu zapoznaj się z ogólnymi informacjami o uwierzytelnianiu i autoryzowaniu w Google Workspace w artykule Więcej informacji o uwierzytelnianiu i autoryzowaniu.
Konfigurowanie autoryzacji OAuth 2.0
Skonfiguruj ekran zgody OAuth i wybierz zakresy, aby określić, jakie informacje mają być wyświetlane użytkownikom i weryfikatorom aplikacji, oraz zarejestruj aplikację, aby móc ją później opublikować.
Zakresy interfejsu Drive API
Aby określić poziom dostępu przyznany aplikacji, musisz wskazać i zadeklarować zakresy autoryzacji. Zakres autoryzacji to ciąg identyfikatora URI OAuth 2.0 zawierający nazwę aplikacji Google Workspace, rodzaj danych, do których uzyskuje ona dostęp, oraz poziom dostępu. Zakresy to żądania aplikacji dotyczące pracy z danymi Google Workspace, w tym danymi kont Google użytkowników.
Po zainstalowaniu aplikacji użytkownik jest proszony o sprawdzenie zakresów używanych przez nią. Należy wybrać jak najwęższy możliwy zakres i uniknąć wysyłania żądań o zakresy, których aplikacja nie potrzebuje. Użytkownicy mogą łatwiej przyznawać dostęp do ograniczonych, jasno opisanych zakresów.
Zalecamy, aby w miarę możliwości używać zakresów niewrażliwych, ponieważ przyznają one zakres dostępu na plik i ograniczają dostęp do konkretnych funkcji wymaganych przez aplikację.
Interfejs Drive API obsługuje te zakresy:
Kod zakresu | Opis | Wykorzystanie |
---|---|---|
https://www.googleapis.com/auth/drive.appdata |
Wyświetlanie danych konfiguracyjnych aplikacji i zarządzanie nimi na Dysku Google. | Zalecane Nie o charakterze kontrowersyjnym |
https://www.googleapis.com/auth/drive.install |
Zezwalaj na wyświetlanie aplikacji w menu „Otwórz w” i „Nowe”. | Zalecane Nie o charakterze kontrowersyjnym |
https://www.googleapis.com/auth/drive.file |
tworzyć nowe pliki na Dysku i modyfikować istniejące pliki otwierane za pomocą aplikacji lub udostępniane aplikacji przez użytkownika przy użyciu interfejsu Google Picker API lub selektora plików w aplikacji; | Zalecane Nie o charakterze kontrowersyjnym |
https://www.googleapis.com/auth/drive.apps.readonly |
Wyświetl aplikacje mające dostęp do Twojego Dysku. | Poufne |
https://www.googleapis.com/auth/drive |
wyświetlać wszystkie pliki na Dysku i nimi zarządzać; | Z ograniczeniem |
https://www.googleapis.com/auth/drive.readonly |
wyświetlić i pobrać wszystkie swoje pliki na Dysku; | Z ograniczeniem |
https://www.googleapis.com/auth/drive.activity |
Wyświetlanie i uzupełnianie rejestru działań na plikach na Dysku. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.activity.readonly |
Wyświetlanie rejestru działań na plikach na Dysku. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.meet.readonly |
Wyświetlanie plików z Dysku utworzonych lub edytowanych w Google Meet. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.metadata |
Wyświetlanie metadanych plików na Dysku i zarządzanie nimi. | Z ograniczeniem |
https://www.googleapis.com/auth/drive.metadata.readonly |
Wyświetlanie metadanych plików na Dysku | Z ograniczeniem |
https://www.googleapis.com/auth/drive.scripts |
Modyfikowanie zachowania skryptów Google Apps Script. | Z ograniczeniem |
Kolumna Użycie w tabeli powyżej wskazuje czułość każdego zakresu zgodnie z tymi definicjami:
Zalecane / niewrażliwe: te zakresy zapewniają najmniejszy zakres autoryzacji dostępu i wymagają jedynie podstawowej weryfikacji aplikacji. Informacje o tym wymaganiu znajdziesz w artykule Wymagania dotyczące weryfikacji.
Zalecane / wrażliwe: te zakresy dają dostęp do określonych danych użytkownika Google, które użytkownik autoryzuje w przypadku Twojej aplikacji. Wymaga przeprowadzenia dodatkowej weryfikacji aplikacji. Informacje o tym wymaganiu znajdziesz w artykule Wymagania dotyczące zakresu wrażliwego i ograniczonego.
Z ograniczeniami: te zakresy zapewniają szeroki dostęp do danych użytkowników Google i wymagają przeprowadzenia procesu weryfikacji z ograniczeniami. Informacje o tym wymaganiu znajdziesz w Zasadach dotyczących danych użytkownika w usługach interfejsów API Google i Dodatkowe wymagania dotyczące określonych zakresów interfejsu API. Jeśli przechowujesz na serwerach (lub przesyłasz dane o zakresie z ograniczonym dostępem), musisz przeprowadzić ocenę zabezpieczeń.
Jeśli Twoja aplikacja wymaga dostępu do innych interfejsów API Google, możesz też dodać te zakresy. Więcej informacji o zakresach interfejsów API Google znajdziesz w artykule Korzystanie z protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google.
Więcej informacji o konkretnych zakresach protokołu OAuth 2.0 znajdziesz w artykule Zakresy protokołu OAuth 2.0 dla interfejsów API Google.
Weryfikacja OAuth
Korzystanie z niektórych zakresów protokołu OAuth może wymagać przejścia przez Centrum pomocy weryfikacji aplikacji OAuth. Przeczytaj Najczęstsze pytania na temat aplikacji OAuth, aby dowiedzieć się, kiedy aplikacja powinna przejść weryfikację i jaki typ weryfikacji jest wymagany. Zobacz też Warunki korzystania z Dysku Google.
Kiedy używać zakresu z ograniczeniami
W przypadku Dysku do ograniczonych zakresów mają dostęp tylko te typy aplikacji:
- Aplikacje internetowe oraz specyficzne dla platform, które zapewniają lokalną synchronizację lub automatyczne tworzenie kopii zapasowych plików użytkowników na Dysku.
- Aplikacje biurowe i edukacyjne, których interfejs może wymagać interakcji z plikami na Dysku (albo ich metadanymi lub uprawnieniami). Aplikacje biurowe obejmują zarządzanie zadaniami, robienie notatek, komunikację w grupie roboczej i aplikacje do współpracy w klasie.
- aplikacje do raportowania i zabezpieczeń, które zapewniają informacje o sposobie udostępniania plików lub uzyskiwania do nich dostępu.
Aby nadal korzystać z zakresów z ograniczeniami, przygotuj swoją aplikację do weryfikacji zakresu o ograniczonym zakresie.
Migracja istniejącej aplikacji z zakresów z ograniczeniami
Jeśli masz aplikację Dysku utworzoną przy użyciu dowolnego z ograniczonych zakresów, zalecamy przeniesienie jej do zakresu niewrażliwego, ponieważ zapewnia on zakres dostępu na poziomie pliku i ogranicza dostęp do określonych funkcji wymaganych przez aplikację. Wiele aplikacji obsługuje dostęp na poziomie pliku bez wprowadzania żadnych zmian. Jeśli używasz własnego selektora plików, zalecamy przejście na interfejs Google Picker API, który w pełni obsługuje różne zakresy.
Zalety zakresu protokołu OAuth drive.file
Korzystanie z zakresu protokołu OAuth drive.file
i interfejsu Google Picker API zwiększa wygodę użytkowników i bezpieczeństwo aplikacji.
Zakres protokołu OAuth drive.file
pozwala użytkownikom wybrać pliki, które chcą udostępnić aplikacji. Dzięki temu mają większą kontrolę i pewność, że dostęp aplikacji do ich plików jest ograniczony i bezpieczniejszy. W przeciwieństwie do tego wymaganie szerokiego dostępu do wszystkich plików na Dysku może zniechęcić użytkowników do interakcji z aplikacją. Oto kilka powodów, dla których warto korzystać z zakresu drive.file
:
Łatwość obsługi: zakres
drive.file
działa ze wszystkimi zasobami REST API Dysku, co oznacza, że możesz używać go w taki sam sposób, w jaki używasz szerszych zakresów protokołu OAuth.Funkcje: interfejs Google Picker API ma interfejs podobny do interfejsu Dysku. Obejmuje to kilka widoków z podglądami i miniaturami plików na Dysku oraz wbudowane, modalne okno, dzięki któremu użytkownicy nigdy nie opuszczają głównej aplikacji.
Wygoda: aplikacje mogą stosować filtry do określonych typów plików na Dysku (na przykład plików Dokumentów, Arkuszy i zdjęć Google) podczas korzystania z filtrów w plikach selektora Google.
Ponadto, ponieważ drive.file
nie stosuje poufnych danych, usprawnia proces weryfikacji.
Zapisz tokeny odświeżania
Zapisz tokeny odświeżania w bezpiecznym, długoterminowym miejscu i używaj ich, dopóki są ważne.