Ce document contient des informations sur l'autorisation et l'authentification spécifiques à l'API Google Drive. Avant de lire ce document, assurez-vous de consulter les informations générales sur l'authentification et l'autorisation de Google Workspace dans la section En savoir plus sur l'authentification et l'autorisation.
Configurer OAuth 2.0 pour l'autorisation
Pour autoriser votre application, l'API Google Drive vous demande de définir des champs d'application OAuth à deux endroits : la console Google Cloud et votre application.
Dans la console Google Cloud, vous devez déclarer les champs d'application dont votre application a besoin dans la configuration de son écran de consentement OAuth. Il s'agit du niveau d'autorisation le plus élevé que votre application puisse demander. Cela sert de demande formelle à Google, et les champs d'application déclarés sont ceux que Google affiche aux utilisateurs sur l'écran de consentement. L'utilisateur peut ainsi comprendre exactement les données et les actions auxquelles votre application demande à accéder.
Configurez l'écran de consentement OAuth et choisissez des champs d'application pour définir les informations affichées aux utilisateurs et aux évaluateurs d'applications. Enregistrez votre application pour pouvoir la publier ultérieurement.
Dans votre application, lorsque vous lancez l'API, vous devez demander explicitement les champs d'application spécifiques dont vous avez besoin pour cette session. Bien que la console Google Cloud définisse le niveau d'autorisation le plus élevé que votre application est autorisée à demander, le code détermine les autorisations réelles pour un utilisateur donné. Cela permet de s'assurer que l'application ne demande que les autorisations nécessaires à une tâche spécifique.
Vous pouvez déclarer un ou plusieurs champs d'application OAuth à la fois dans le code de votre application sous forme de tableau.
L'exemple de code suivant montre comment déclarer plusieurs champs d'application OAuth :
Java
List<String> SCOPES = Arrays.asList(
DriveScopes.DRIVE_FILE,
DriveScopes.DRIVE_METADATA_READONLY
);
Python
SCOPES = [
"https://www.googleapis.com/auth/drive.file",
"https://www.googleapis.com/auth/drive.metadata.readonly",
]
Node.js
const SCOPES = [
'https://www.googleapis.com/auth/drive.file',
'https://www.googleapis.com/auth/drive.metadata.readonly'
];
Pour découvrir comment les champs d'application sont déclarés et utilisés dans un exemple de code complet, consultez les guides de démarrage rapide.
Champs d'application de l'API Drive
Pour définir le niveau d'accès accordé à votre application, vous devez identifier et déclarer des champs d'application d'autorisation. Un champ d'application d'autorisation est une chaîne d'URI OAuth 2.0 qui contient le nom de l'application Google Workspace, le type de données auquel elle accède et le niveau d'accès. Les champs d'application correspondent aux demandes de votre application pour utiliser les données Google Workspace, y compris les données de compte Google des utilisateurs.
Lorsque votre application est installée, l'utilisateur est invité à valider les champs d'application utilisés par l'application. En règle générale, vous devez choisir le champ d'application le plus ciblé possible et éviter de demander des champs d'application dont votre application n'a pas besoin. Les utilisateurs accordent plus facilement l'accès à des champs d'application limités et clairement décrits.
Dans la mesure du possible, utilisez des champs d'application non sensibles, car ils accordent un accès par fichier et limitent l'accès aux fonctionnalités spécifiques dont une application a besoin.
Champs d'application non sensibles
Les champs d'application de l'API Drive suivants sont recommandés pour la plupart des cas d'utilisation :
| Code du champ d'application | Description |
|---|---|
https://www.googleapis.com/auth/drive.appdata |
Affichez et gérez les propres données de configuration de l'application dans votre Google Drive. |
https://www.googleapis.com/auth/drive.install |
Autorisez les applications à s'afficher comme option dans le menu "Ouvrir avec" ou "Nouveau". |
https://www.googleapis.com/auth/drive.file |
Créez des fichiers Drive ou modifiez des fichiers existants que vous ouvrez avec une application ou que l'utilisateur partage avec une application lorsqu'il utilise l'API Google Picker ou le sélecteur de fichiers de l'application. |
Champs d'application sensibles
| Code du champ d'application | Description |
|---|---|
https://www.googleapis.com/auth/drive.apps.readonly |
Affichez les applications autorisées à accéder à votre Drive. |
Champs d'application restreints
| Code du champ d'application | Description |
|---|---|
https://www.googleapis.com/auth/drive |
Affichez et gérez tous vos fichiers Drive. |
https://www.googleapis.com/auth/drive.readonly |
Affichez et téléchargez tous vos fichiers Drive. |
https://www.googleapis.com/auth/drive.activity |
Affichez le journal d'activités des fichiers de votre Drive et ajoutez-y des éléments. |
https://www.googleapis.com/auth/drive.activity.readonly |
Affichez le journal d'activités des fichiers de votre Drive. |
https://www.googleapis.com/auth/drive.meet.readonly |
Affichez les fichiers Drive créés ou modifiés dans Google Meet. |
https://www.googleapis.com/auth/drive.metadata |
Affichez et gérez les métadonnées des fichiers présents dans votre Drive. |
https://www.googleapis.com/auth/drive.metadata.readonly |
Consultez les métadonnées de vos fichiers dans Drive. |
https://www.googleapis.com/auth/drive.scripts |
Modifiez le comportement de vos scripts Google Apps Script. |
Les champs d'application des tableaux précédents indiquent leur sensibilité, conformément aux définitions suivantes :
Non sensibles : ces champs d'application fournissent le plus petit champ d'application d'autorisation et ne nécessitent qu'une validation de base de l'application OAuth App. Pour en savoir plus, consultez la section Exigences liées à la validation.
Sensibles : ces champs d'application permettent d'accéder à des données utilisateur Google spécifiques que les utilisateurs autorisent pour votre application. Ils nécessitent une validation supplémentaire de l'application OAuth. Pour en savoir plus, consultez la section Exigences liées aux champs d'application sensibles et restreints.
Restreints : ces champs d'application offrent un large accès aux données utilisateur Google et nécessitent une validation de l'application OAuth avec champ d'application restreint. Pour en savoir plus, consultez le Règlement sur les données utilisateur dans les services d'API Google et Exigences supplémentaires pour des champs d'application d'API spécifiques. Consultez également les Conditions d'utilisation de Google Drive Service.
Si vous stockez des données de champ d'application restreint sur des serveurs (ou si vous les transmettez), vous devez passer par une évaluation de la sécurité.
Si votre application nécessite d'accéder à d'autres API Google, vous pouvez également ajouter ces champs d'application. Pour en savoir plus sur les champs d'application des API Google, consultez la section Utiliser OAuth 2.0 pour accéder aux API Google.
Pour en savoir plus sur les champs d'application OAuth 2.0 spécifiques, consultez la section Champs d'application OAuth 2.0 pour les API Google.
Conditions requises pour les champs d'application restreints
Seuls certains types d'applications sont autorisés à utiliser des champs d'application restreints pour Google Drive. Pour être éligible, votre application doit appartenir à l'une des catégories suivantes :
Sauvegarde et synchronisation : applications Web et spécifiques à une plate-forme qui fournissent une synchronisation locale ou une sauvegarde automatique des fichiers Drive des utilisateurs.
Productivité et éducation : applications avec une interface utilisateur principale qui peut impliquer une interaction avec des fichiers, des métadonnées ou des autorisations Drive. Ces applications incluent la gestion des tâches, la prise de notes, les communications de groupe de travail et les applications de collaboration en classe.
Rapports et sécurité : applications qui fournissent aux utilisateurs ou aux clients des informations sur la manière dont les fichiers sont partagés ou consultés.
Pour continuer à utiliser des champs d'application restreints, vous devez préparer votre application pour la validation des champs d'application restreints.
Migrer une application existante à partir de champs d'application restreints
Si votre application Drive utilise des champs d'application restreints, nous vous recommandons de migrer vers un champ d'application de l'API Drive non sensible. L'utilisation de champs d'application non sensibles, tels que drive.file, accorde un accès par fichier et limite l'accès aux fonctionnalités spécifiques dont une application a besoin.
De nombreuses applications peuvent passer à un accès par fichier sans aucune modification.
Si vous utilisez votre propre sélecteur de fichiers, nous vous recommandons de passer à l'API Google Picker, qui est entièrement compatible avec différents champs d'application.
Avantages du champ d'application de fichier Drive
L'utilisation du champ d'application OAuth drive.file en combinaison avec l'API Google Picker optimise l'expérience utilisateur et la sécurité de votre application.
Le champ d'application OAuth drive.file permet aux utilisateurs de choisir les fichiers qu'ils souhaitent partager avec votre application. Ils bénéficient ainsi d'un meilleur contrôle et sont plus confiants quant au fait que l'accès de votre application à leurs fichiers est limité et plus sécurisé. En revanche, exiger un large accès à tous les fichiers Drive pourrait dissuader les utilisateurs d'interagir avec votre application.
Voici quelques raisons pour lesquelles vous devriez utiliser le champ d'application drive.file :
Facilité d'utilisation : le champ d'application
drive.filefonctionne avec toutes les ressources REST de l'API Drive , ce qui signifie que vous pouvez l'utiliser de la même manière que des champs d'application OAuth plus larges.Fonctionnalités : l'API Google Picker fournit une interface semblable à l' UI Drive. Cela inclut plusieurs vues affichant des aperçus et des miniatures des fichiers Drive, ainsi qu'une fenêtre modale intégrée pour que les utilisateurs ne quittent jamais l'application principale.
Commodité : les applications peuvent appliquer des filtres pour certains types de fichiers Drive (tels que Google Docs, Sheets et Photos) lorsqu'elles utilisent un filtre sur des fichiers Google Picker.
Validation simple : comme
drive.filen'est pas sensible, le processus de validation est plus simple.
Stocker les jetons d'actualisation de manière sécurisée
Pour accéder à des données privées à l'aide de l'API Drive, votre application doit obtenir un jeton d'accès qui lui accorde l'accès à cette API. Un seul jeton d'accès peut accorder différents niveaux d'accès à plusieurs API, régis par les champs d'application que vous demandez.
Comme les jetons d'accès sont de courte durée, vous devez utiliser des jetons d'actualisation pour accéder à l'API Drive à long terme. Un jeton d'actualisation permet à votre application de demander de nouveaux jetons d'accès.
Enregistrez les jetons d'actualisation dans un espace de stockage sécurisé et à long terme, et continuez à les utiliser tant qu'ils sont valides.
Pour plus d'informations, consultez Description de l'utilisation du protocole OAuth 2.0 pour l'accès aux API Google.
Articles associés
- Pour obtenir une présentation de l'authentification et de l'autorisation dans Google Workspace, consultez la section En savoir plus sur l'authentification et l'autorisation.
- Pour obtenir une présentation de l'authentification et de l'autorisation dans Google Cloud, consultez la page Présentation de l'authentification.
- Pour en savoir plus sur les comptes de service, consultez la page Comptes de service.
- Pour obtenir de l'aide concernant le dépannage, consultez la section Résoudre les erreurs.