如何處理精細的權限

總覽

有了精細權限,消費者就能更精確地控管要與各個應用程式分享哪些帳戶資料。這項功能提供更完善的控制權、透明度和安全性,因此對使用者和開發人員都有好處。本指南將說明成功更新應用程式以處理精細權限時,必須進行的變更和步驟。

什麼是精細權限?

假設您開發的生產力應用程式同時要求電子郵件和日曆範圍。使用者可能只希望透過您的應用程式存取 Google 日曆,而非 Gmail。透過細化的 OAuth 權限,使用者可以選擇只授予 Google 日曆權限,但不要授予 Gmail 權限。讓使用者授予特定資料的存取權,可減少資料曝光、增進信任感,並讓使用者以隱私權優先的方式控管自己的數位生活。請務必設計應用程式,以處理這類情況。

要求多個非登入範圍時

登入和非登入範圍

如果應用程式同時要求登入和非登入範圍,使用者會先看到登入範圍 (emailprofileopenid) 的同意畫面。使用者同意分享基本身分資訊 (姓名、電子郵件地址和個人資料相片) 後,就會看到非登入範圍的精細權限同意畫面。在這種情況下,應用程式必須檢查使用者授予的範圍,且不得假設使用者授予所有要求的範圍。在下列範例中,網頁應用程式會要求所有三個登入範圍,以及 Google 雲端硬碟非登入範圍。使用者同意登入範圍後,會看到 Google 雲端硬碟權限的精細權限同意畫面:

登入和非登入範圍

多個非登入範圍

如果應用程式要求多個非登入範圍,使用者會看到精細權限同意畫面。使用者可以選取要核准哪些權限,以便與應用程式分享。以下是要求存取使用者 Gmail 郵件和 Google 日曆資料的細部權限同意畫面範例:

多個非登入範圍

如果應用程式只要求登入範圍 (emailprofileopenid),則不適用精細權限同意畫面。使用者只能核准或拒絕整個登入要求。換句話說,如果應用程式只要求登入範圍 (一、二或全部三個),則不適用細部權限同意畫面。

如果應用程式只要求一項非登入範圍,則適用於細部權限同意畫面。換句話說,使用者只能核准或拒絕整個要求,同意畫面中不會顯示核取方塊。下表摘要說明何時會顯示精細權限同意畫面。

登入範圍數量 非登入範圍數量 精細權限同意畫面
1-3 0 不適用
1-3 1+ 支援
0 1 不適用
0 2+ 支援

判斷應用程式是否受到影響

請仔細檢查應用程式中所有使用 Google OAuth 2.0 授權端點要求權限的部分。請注意,要求多個範圍的應用程式會啟動精細權限同意畫面,並向使用者顯示。在這種情況下,請確保程式碼可以處理使用者只授權部分範圍的情況。

如何判斷應用程式是否使用多個範圍

檢查應用程式程式碼傳出的網路呼叫,判斷應用程式發出的 Google OAuth 2.0 授權要求是否會顯示精細權限同意畫面。

檢查應用程式程式碼

請檢查應用程式程式碼中,您呼叫 Google OAuth 授權端點向使用者要求權限的部分。如果您使用 Google API 用戶端程式庫,通常可以在用戶端初始化步驟中,找到應用程式要求哪些範圍。下一節會列舉幾個範例。請參閱應用程式使用的 SDK 說明文件,瞭解如何處理 Google OAuth 2.0,並根據下列範例中的指引,判斷應用程式是否受到影響。

Google Identity 服務

下列 Google Identity 服務 JavaScript 程式庫程式碼片段會使用多個非登入範圍初始化 TokenClient。當網頁應用程式要求使用者授權時,系統會顯示精細權限同意畫面。 

const client = google.accounts.oauth2.initTokenClient({
  client_id: 'YOUR_CLIENT_ID',
  scope: 'https://www.googleapis.com/auth/calendar.readonly \
  https://www.googleapis.com/auth/contacts.readonly',
  callback: (response) => {
    ...
  },
});

Python

下列程式碼片段使用 google-auth-oauthlib.flow 模組建構授權要求;scope 參數包含兩個非登入範圍。當網頁應用程式要求使用者授權時,系統會顯示精細權限同意畫面。 

import google.oauth2.credentials
import google_auth_oauthlib.flow

# Use the client_secret.json file to identify the application requesting
# authorization. The client ID (from that file) and access scopes are required.
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/calendar.readonly',
                    'https://www.googleapis.com/auth/contacts.readonly'])

Node.js

下列程式碼片段會建立 google.auth.OAuth2 物件,定義授權要求中的參數,而這些參數的 scope 參數包含兩個非登入範圍。當網頁應用程式要求使用者授權時,系統會顯示精細權限同意畫面。 

const {google} = require('googleapis');

/**
  * To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI
  * from the client_secret.json file. To get these credentials for your application, visit
  * https://console.cloud.google.com/apis/credentials.
  */
const oauth2Client = new google.auth.OAuth2(
  YOUR_CLIENT_ID,
  YOUR_CLIENT_SECRET,
  YOUR_REDIRECT_URL
);

// Access scopes for read-only Calendar and Contacts.
const scopes = [
  'https://www.googleapis.com/auth/calendar.readonly',
  'https://www.googleapis.com/auth/contacts.readonly']
];

// Generate a url that asks permissions
const authorizationUrl = oauth2Client.generateAuthUrl({
  // 'online' (default) or 'offline' (gets refresh_token)
  access_type: 'offline',
  /** Pass in the scopes array defined above.
    * Alternatively, if only one scope is needed, you can pass a scope URL as a string */
  scope: scopes,
  // Enable incremental authorization. Recommended as best practices.
  include_granted_scopes: true
});

檢查外送網路通話

檢查網路呼叫的方法會因應用程式用戶端類型而異。

檢查網路呼叫時,請找出傳送至 Google OAuth 授權端點的要求,並檢查 scope 參數。

這些值顯示細部權限同意畫面。

  • scope 參數包含登入範圍和非登入範圍。

    下列範例要求包含所有三種登入範圍,以及一個非登入範圍,可查看使用者 Google 雲端硬碟檔案的中繼資料:

    https://accounts.google.com/o/oauth2/v2/auth?
access_type=offline&
scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email%20https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.profile%20openid%20https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fdrive.metadata.readonly&
include_granted_scopes=true&
response_type=code&
redirect_uri=YOUR_REDIRECT_URL&
client_id=YOUR_CLIENT_ID

  • scope 參數包含多個非登入範圍。

    下列範例要求包含兩個非登入範圍,可查看使用者 Google 雲端硬碟的中繼資料,以及管理特定 Google 雲端硬碟檔案:

    • https://accounts.google.com/o/oauth2/v2/auth?
access_type=offline&
scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fdrive.metadata.readonly%20https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fdrive.file&
include_granted_scopes=true&
response_type=code&
redirect_uri=YOUR_REDIRECT_URL&
client_id=YOUR_CLIENT_ID

處理精細權限的最佳做法

如果您判斷應用程式需要更新才能處理細部權限,請對程式碼進行必要更新,以便正確處理多個範圍的同意聲明。所有應用程式都應遵守下列最佳做法:

  1. 詳閱 Google API 服務:使用者資料政策》,並確保遵守相關規定。
  2. 要求工作所需的特定範圍。您必須遵守 Google OAuth 2.0 政策,只要求需要的範圍。除非應用程式的核心功能必須取得多個範圍的權限,否則請避免在登入時要求這些權限。如果將多個範圍的權限綁在一起,尤其是對於不熟悉應用程式功能的新手使用者來說,他們可能難以理解為何需要這些權限。這可能會引發警報,並阻止使用者進一步與您的應用程式互動。
  3. 向使用者說明原因,再要求授權。清楚說明應用程式需要所要求權限的原因、您將如何處理使用者資料,以及使用者核准要求後可獲得的好處。 研究顯示,這些說明有助於提升使用者信任度和參與度。
  4. 應用程式要求範圍時,請使用 增量授權,避免管理多個存取權杖。
  5. 檢查使用者授予的範圍。一次要求多個範圍時,使用者可能不會授予應用程式要求的所有範圍。應用程式應一律檢查使用者授予的範圍,並停用相關功能,處理使用者拒絕授予範圍的情況。請遵循 Google OAuth 2.0 政策,處理多個範圍的同意聲明,且只有在使用者明確表示要使用需要該範圍的特定功能時,才再次提示使用者同意。

更新應用程式以處理精細權限

Android 應用程式

請參閱您用來與 Google OAuth 2.0 互動的 SDK 說明文件,並根據最佳做法更新應用程式,以處理精細權限。

如果您使用 Play 服務的 auth.api.signin SDK 與 Google OAuth 2.0 互動,可以透過 requestPermissions 函式要求所需範圍的最小集合,並透過 hasPermissions 函式檢查使用者在要求精細權限時授予的範圍。

Chrome 擴充功能應用程式

您應使用 Chrome Identity API,根據最佳做法搭配 Google OAuth 2.0 使用。

以下範例說明如何正確處理精細權限。

manifest.json

以下範例資訊清單檔案為 Chrome 擴充功能應用程式宣告了兩個非登入範圍。

{
  "name": "Example Chrome extension application",
  ...
  "permissions": [
      "identity"
    ],
  "oauth2" : {
      "client_id": "YOUR_CLIENT_ID",
      "scopes":["https://www.googleapis.com/auth/calendar.readonly",
                "https://www.googleapis.com/auth/contacts.readonly"]
  }
}

方法不正確

全有或全無

使用者按一下按鈕即可啟動授權程序。這段程式碼片段假設使用者會看到「全有或全無」的同意聲明畫面,其中包含 manifest.json 檔案中指定的兩個範圍。未檢查使用者授予的範圍。

oauth.js

...
document.querySelector('button').addEventListener('click', function () {
  chrome.identity.getAuthToken({ interactive: true },
      function (token) {
          if (token === undefined) {
            // User didn't authorize both scopes.
            // Updating the UX and application accordingly
            ...
          } else {
            // User authorized both or one of the scopes.
            // It neglects to check which scopes users granted and assumes users granted all scopes.

            // Calling the APIs, etc.
            ...
          }
      });
});

正確做法

最小範圍

選取所需的最小範圍組合

應用程式只應要求所需的最少權限範圍。建議應用程式在需要完成工作時,一次要求一個範圍。

在本範例中,假設 manifest.json 檔案中宣告的兩個範圍是所需範圍的最小集合。oauth.js 檔案會使用 Chrome Identity API,向 Google 啟動授權程序。您應選擇 啟用精細權限,讓使用者進一步控管授予應用程式的權限。應用程式應檢查使用者授權的範圍,妥善處理使用者的回應。

oauth.js

...
document.querySelector('button').addEventListener('click', function () {
  chrome.identity.getAuthToken({ interactive: true, enableGranularPermissions: true },
      function (token, grantedScopes) {
          if (token === undefined) {
            // User didn't authorize any scope.
            // Updating the UX and application accordingly
            ...
          } else {
            // User authorized the request. Now, check which scopes were granted.
            if (grantedScopes.includes('https://www.googleapis.com/auth/calendar.readonly'))
            {
              // User authorized Calendar read permission.
              // Calling the APIs, etc.
              ...
            }
            else
            {
              // User didn't authorize Calendar read permission.
              // Update UX and application accordingly
              ...
            }

            if (grantedScopes.includes('https://www.googleapis.com/auth/contacts.readonly'))
            {
              // User authorized Contacts read permission.
              // Calling the APIs, etc.
              ...
            }
            else
            {
              // User didn't authorize Contacts read permission.
              // Update UX and application accordingly
              ...
            }
          }
      });
});

iOS、iPadOS 和 macOS 應用程式

請參閱您用來與 Google OAuth 2.0 互動的 SDK 說明文件,並根據最佳做法更新應用程式,以處理精細權限。

如果您使用 iOS 和 macOS 版 Google 登入程式庫與 Google OAuth 2.0 互動,請參閱說明文件,瞭解如何處理精細權限。

網頁應用程式

請參閱您用來與 Google OAuth 2.0 互動的 SDK 說明文件,並根據最佳做法更新應用程式,以處理精細權限。

伺服器端 (離線) 存取權

如要使用伺服器端 (離線) 存取模式,請完成下列步驟:
  • 架設伺服器,並定義可公開存取的端點,以接收授權碼。
  • 在 Google Cloud 控制台的 Clients page 中,設定公開端點的 重新導向 URI

下列 NodeJS 程式碼片段範例會要求兩個非登入範圍。使用者會看到精細權限同意畫面。

方法不正確

全有或全無

使用者會重新導向至授權網址。程式碼片段會假設使用者看到「全有或全無」的同意聲明畫面,其中包含 scopes 陣列中指定的兩個範圍。未檢查使用者授予的範圍。

main.js

...
const oauth2Client = new google.auth.OAuth2(
  YOUR_CLIENT_ID,
  YOUR_CLIENT_SECRET,
  YOUR_REDIRECT_URL
);

// Access scopes for two non-Sign-In scopes - Google Calendar and Contacts
const scopes = [
  'https://www.googleapis.com/auth/contacts.readonly',
  'https://www.googleapis.com/auth/calendar.readonly'
];

// Generate a url that asks permissions for the Google Calendar and Contacts scopes
const authorizationUrl = oauth2Client.generateAuthUrl({
  // 'online' (default) or 'offline' (gets refresh_token)
  access_type: 'offline',
  // Pass in the scopes array defined above
  scope: scopes,
  // Enable incremental authorization. Recommended as best practices.
  include_granted_scopes: true
});

async function main() {
  const server = http.createServer(async function (req, res) {
    // Example on redirecting user to Google OAuth 2.0 server.
    if (req.url == '/') {
      res.writeHead(301, { "Location": authorizationUrl });
    }
    // Receive the callback from Google OAuth 2.0 server.
    if (req.url.startsWith('/oauth2callback')) {
      // Handle the Google OAuth 2.0 server response
      let q = url.parse(req.url, true).query;

      if (q.error) {
        // User didn't authorize both scopes.
        // Updating the UX and application accordingly
        ...
      } else {
        // User authorized both or one of the scopes.
        // It neglects to check which scopes users granted and assumes users granted all scopes.

        // Get access and refresh tokens (if access_type is offline)
        let { tokens } = await oauth2Client.getToken(q.code);
        // Calling the APIs, etc.
        ...
      }
    }
    res.end();
  }).listen(80);
}
正確做法

最小範圍

選取所需的最小範圍組合

應用程式只應要求所需的最少權限範圍。建議應用程式在需要完成工作時,一次要求一個範圍。應用程式要求範圍時,應使用增量授權,避免管理多個存取權杖。

如果應用程式必須要求多個非登入範圍,請務必在要求時使用增量授權,並檢查使用者授予的範圍。

在這個範例中,我們假設應用程式需要這兩個範圍才能正常運作。您應選擇 啟用精細權限,讓使用者進一步控管授予應用程式的權限。應用程式應檢查使用者授權的範圍,妥善處理使用者的回應。

main.js

...
const oauth2Client = new google.auth.OAuth2(
  YOUR_CLIENT_ID,
  YOUR_CLIENT_SECRET,
  YOUR_REDIRECT_URL
);

// Access scopes for two non-Sign-In scopes - Google Calendar and Contacts
const scopes = [
  'https://www.googleapis.com/auth/contacts.readonly',
  'https://www.googleapis.com/auth/calendar.readonly'
];

// Generate a url that asks permissions for the Google Calendar and Contacts scopes
const authorizationUrl = oauth2Client.generateAuthUrl({
  // 'online' (default) or 'offline' (gets refresh_token)
  access_type: 'offline',
  // Pass in the scopes array defined above
  scope: scopes,
  // Enable incremental authorization. Recommended as best practices.
  include_granted_scopes: true,
  // Set to true to enable more granular permissions for Google OAuth 2.0 client IDs created before 2019.
  // No effect for newer Google OAuth 2.0 client IDs, since more granular permissions is always enabled for them.
  enable_granular_consent: true
});

async function main() {
  const server = http.createServer(async function (req, res) {
    // Redirect users to Google OAuth 2.0 server.
    if (req.url == '/') {
      res.writeHead(301, { "Location": authorizationUrl });
    }
    // Receive the callback from Google OAuth 2.0 server.
    if (req.url.startsWith('/oauth2callback')) {
      // Handle the Google OAuth 2.0 server response
      let q = url.parse(req.url, true).query;

      if (q.error) {
        // User didn't authorize both scopes.
        // Updating the UX and application accordingly
        ...
      } else {
        // Get access and refresh tokens (if access_type is offline)
        let { tokens } = await oauth2Client.getToken(q.code);
        oauth2Client.setCredentials(tokens);

        // User authorized the request. Now, check which scopes were granted.
        if (tokens.scope.includes('https://www.googleapis.com/auth/calendar.readonly'))
        {
          // User authorized Calendar read permission.
          // Calling the APIs, etc.
          ...
        }
        else
        {
          // User didn't authorize Calendar read permission.
          // Calling the APIs, etc.
          ...
        }

        // Check which scopes user granted the permission to application
        if (tokens.scope.includes('https://www.googleapis.com/auth/contacts.readonly'))
        {
          // User authorized Contacts read permission.
          // Calling the APIs, etc.
          ...
        }
        else
        {
          // User didn't authorize Contacts read permission.
          // Update UX and application accordingly
          ...
        }
      }
    }
    res.end();
  }).listen(80);
}

請參閱 伺服器端網頁應用程式指南,瞭解如何從伺服器型應用程式存取 Google API。

僅限用戶端存取

  • 如果應用程式使用 Google Identity Services JavaScript 程式庫與 Google OAuth 2.0 互動,請參閱這份文件,瞭解如何處理精細權限。
  • 如果應用程式使用 JavaScript 直接呼叫 Google OAuth 2.0 授權端點,請參閱這份文件,瞭解如何處理精細權限。

測試更新後的應用程式是否能處理精細權限

  1. 列出使用者可以回應權限要求的所有情況,以及應用程式的預期行為。舉例來說,如果使用者只授權您要求的三個範圍中的兩個,應用程式就應相應運作。
  2. 啟用精細權限後測試應用程式。啟用精細權限的方法有兩種:
    1. 檢查應用程式的 OAuth 2.0 同意畫面,確認應用程式是否已啟用精細權限。您也可以透過 Google Cloud 控制台建立新的 Web、Android 或 iOS Google OAuth 2.0 用戶端 ID,以進行測試,因為這些 ID 一律會啟用精細權限。
    2. 呼叫 Google OAuth 授權端點時,請將 enable_granular_consent 參數設為 true部分 SDK 支援這項參數。如為其他平台,請參閱說明文件,瞭解如何手動新增這個參數及其值。 如果您的實作方式不支援新增參數,您可以透過 Google Cloud 控制台建立新的網頁版、Android 版或 iOS 版 Google OAuth 2.0 用戶端 ID,僅供測試用途,如上一個要點所述。
  3. 測試更新後的應用程式時,請使用個人 Google 帳戶 (@gmail.com),而非 Workspace 帳戶。這是因為目前系統不會對具有網域範圍授權委派或標示為信任的 Workspace Enterprise 應用程式,套用細部權限變更。因此,使用貴機構的 Workspace 帳戶進行測試時,可能無法如預期顯示新的精細同意聲明畫面。