Xác thực và uỷ quyền là các cơ chế dùng để xác minh danh tính và quyền truy cập vào tài nguyên. Tài liệu này trình bày cách hoạt động của quy trình xác thực và uỷ quyền cho các yêu cầu API REST của Google Meet.
Hướng dẫn này giải thích cách sử dụng OAuth 2.0 bằng thông tin xác thực của người dùng trên Google để truy cập vào Meet REST API. Việc xác thực và cấp phép bằng thông tin xác thực của người dùng cho phép các ứng dụng Meet truy cập vào dữ liệu người dùng và thay mặt người dùng đã xác thực thực hiện các thao tác. Bằng cách xác thực thay mặt cho người dùng, ứng dụng có các quyền giống như người dùng đó và có thể thực hiện các thao tác như thể người dùng đó thực hiện.
Thuật ngữ quan trọng
Sau đây là danh sách các thuật ngữ liên quan đến việc xác thực và uỷ quyền:
- Xác thực
Hành động đảm bảo rằng chủ thể, có thể là người dùng
hoặc một ứng dụng thay mặt cho người dùng, là những gì họ cho biết. Khi viết ứng dụng Google Workspace, bạn cần lưu ý đến các loại xác thực sau: xác thực người dùng và xác thực ứng dụng. Đối với API Meet REST, bạn chỉ có thể xác thực bằng phương thức xác thực người dùng.
- Uỷ quyền
Quyền hoặc "quyền hạn" mà đối tượng chính có để truy cập
dữ liệu hoặc thực hiện các thao tác. Việc uỷ quyền được thực hiện thông qua mã bạn viết trong ứng dụng. Mã này thông báo cho người dùng rằng ứng dụng muốn thay mặt họ hành động và nếu được cho phép, sẽ sử dụng thông tin xác thực duy nhất của ứng dụng để lấy mã truy cập từ Google nhằm truy cập dữ liệu hoặc thực hiện các thao tác.
Đáp ứng phạm vi API REST
Phạm vi uỷ quyền là các quyền mà bạn yêu cầu người dùng uỷ quyền để ứng dụng của bạn truy cập vào nội dung cuộc họp. Khi có người cài đặt ứng dụng của bạn, người dùng sẽ được yêu cầu xác thực các phạm vi này. Nhìn chung, bạn nên chọn phạm vi tập trung hẹp nhất có thể và tránh yêu cầu các phạm vi mà ứng dụng không yêu cầu. Người dùng sẵn sàng cấp quyền truy cập vào các phạm vi hạn chế, được mô tả rõ ràng hơn.
API Meet REST hỗ trợ các phạm vi OAuth 2.0 sau:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.settings |
Chỉnh sửa và xem các chế độ cài đặt cho tất cả cuộc gọi qua Google Meet. | Không nhạy cảm |
https://www.googleapis.com/auth/meetings.space.created |
Cho phép ứng dụng tạo, sửa đổi và đọc siêu dữ liệu về không gian họp do ứng dụng của bạn tạo. | Nhạy cảm |
https://www.googleapis.com/auth/meetings.space.readonly |
Cho phép ứng dụng đọc siêu dữ liệu về bất kỳ không gian họp nào mà người dùng có quyền truy cập. | Nhạy cảm |
https://www.googleapis.com/auth/drive.readonly |
Cho phép ứng dụng tải tệp bản ghi âm và bản chép lời xuống từ API Google Drive. | Bị hạn chế |
Phạm vi OAuth 2.0 liên quan đến Meet sau đây nằm trong danh sách phạm vi API Google Drive:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Xem các tệp trên Drive do Google Meet tạo hoặc chỉnh sửa. | Bị hạn chế |
Cột Mức sử dụng trong bảng cho biết độ nhạy của từng phạm vi, theo định nghĩa sau:
Không nhạy cảm: Các phạm vi này cung cấp phạm vi truy cập uỷ quyền nhỏ nhất và chỉ yêu cầu xác minh ứng dụng cơ bản. Để tìm hiểu thêm, hãy xem Các yêu cầu về việc xác minh.
Nhạy cảm: Các phạm vi này cung cấp quyền truy cập vào dữ liệu người dùng cụ thể trên Google mà người dùng đã cho phép ứng dụng của bạn truy cập. Bạn cần phải trải qua quy trình xác minh ứng dụng bổ sung. Để tìm hiểu thêm, hãy xem phần Yêu cầu về phạm vi nội dung nhạy cảm và bị hạn chế.
Bị hạn chế: Các phạm vi này cung cấp quyền truy cập rộng rãi vào dữ liệu người dùng của Google và yêu cầu bạn phải trải qua quy trình xác minh phạm vi bị hạn chế. Để tìm hiểu thêm, hãy xem Chính sách dữ liệu người dùng của Dịch vụ API của Google và Các yêu cầu bổ sung cho phạm vi API cụ thể. Nếu lưu trữ (hoặc truyền) dữ liệu thuộc phạm vi bị hạn chế trên máy chủ, thì bạn phải trải qua quy trình đánh giá bảo mật.
Nếu ứng dụng của bạn yêu cầu quyền truy cập vào bất kỳ API nào khác của Google, bạn cũng có thể thêm các phạm vi đó. Để biết thêm thông tin về phạm vi API của Google, hãy xem bài viết Sử dụng OAuth 2.0 để truy cập vào API của Google.
Để xác định thông tin nào sẽ hiển thị cho người dùng và người đánh giá ứng dụng, hãy xem phần Định cấu hình màn hình xin phép bằng OAuth và chọn phạm vi.
Để biết thêm thông tin về các phạm vi OAuth 2.0 cụ thể, hãy xem bài viết Phạm vi OAuth 2.0 cho API của Google.
Xác thực và uỷ quyền bằng cách uỷ quyền trên toàn miền
Nếu là quản trị viên miền, bạn có thể cấp quyền uỷ quyền trên toàn miền để cho phép tài khoản dịch vụ của ứng dụng truy cập vào dữ liệu của người dùng mà không yêu cầu từng người dùng phải đồng ý. Sau khi bạn định cấu hình tính năng uỷ quyền trên toàn miền, tài khoản dịch vụ có thể mạo danh tài khoản người dùng. Mặc dù tài khoản dịch vụ được dùng để xác thực, nhưng tính năng uỷ quyền trên toàn miền sẽ mạo danh người dùng và do đó được coi là xác thực người dùng. Mọi chức năng yêu cầu xác thực người dùng đều có thể sử dụng tính năng uỷ quyền trên toàn miền.
Chủ đề có liên quan
Để biết thông tin tổng quan về việc xác thực và uỷ quyền trong Google Workspace, hãy xem bài viết Tìm hiểu về việc xác thực và uỷ quyền.
Để biết thông tin tổng quan về việc xác thực và uỷ quyền trong Google Cloud, hãy xem bài viết Phương thức xác thực tại Google.