创建访问凭据

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

凭据用于从 Google 的授权服务器获取访问令牌,以便您的应用可以调用 Google Workspace API。本指南介绍如何选择和设置您的应用所需的凭据。

如需查看本页中的术语定义,请参阅身份验证和授权概览

凭据类型

所需的凭据取决于应用的数据类型、平台和访问方法。可用的凭据类型有三种:

  • API 密钥 - 使用此凭据可匿名访问您应用中公开提供的数据。

  • OAuth 客户端 ID - 使用此凭据作为最终用户进行身份验证并访问其数据。需要您的应用请求并征求用户的同意。

  • 服务帐号 - 使用此凭据作为机器人服务帐号进行身份验证,或通过全网域授权代表 Google Workspace 或 Cloud Identity 用户访问资源。

提示:根据 Google Cloud 控制台中的“帮我选择”选项,系统将根据一系列问题指导您选择正确的凭据。

API 密钥凭据

API 密钥是包含大小写字母、数字、下划线和连字符(例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe)的长字符串。此身份验证方法用于以匿名方式访问公开提供的数据,例如使用“互联网上知道此链接的任何人”共享设置共享的 Google Workspace 文件。如需了解详情,请参阅使用 API 密钥

如需创建 API 密钥,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到“菜单” > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > API 密钥
  3. 系统会显示您的新 API 密钥。
    • 点击“Copy” 以复制您的 API 密钥,以便在应用代码中使用。API 密钥也可以在项目凭据的“API 密钥”部分找到。
    • 点击限制密钥,以更新高级设置并限制对您的 API 密钥的使用。如需了解详情,请参阅应用 API 密钥限制

OAuth 客户端 ID 凭据

如需以最终用户的身份进行身份验证并访问应用中的用户数据,您需要创建一个或多个 OAuth 2.0 客户端 ID。客户端 ID 用于向 Google 的 OAuth 服务器标识单个应用。如果您的应用在多个平台上运行,您必须为每个平台创建单独的客户端 ID。

选择应用类型,详细了解如何创建 OAuth 客户端 ID:

Web 应用

  1. 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > Web 应用
  4. 名称字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
  5. 添加与您的应用相关的已获授权的 URI:
    • 客户端应用 (JavaScript) - 在已获授权的 JavaScript 来源下,点击添加 URI。然后,输入要用于浏览器请求的 URI。标识您的应用可以从哪些网域向 OAuth 2.0 服务器发送 API 请求。
    • 服务器端应用(Java、Python 等) - 在已获授权的重定向 URI 下,点击添加 URI。然后,输入 OAuth 2.0 服务器可以将响应发送到的端点 URI。
  6. 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。

    记下客户端 ID。Web 应用不使用客户端密钥。

  7. 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下。
  8. 可选:如果您要创建凭据作为 JavaScript 快速入门的前提条件,则还必须生成 API 密钥

Android

  1. 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > Android
  4. 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
  5. 在“软件包名称”字段中,输入 AndroidManifest.xml 文件中的软件包名称。
  6. 在“SHA-1 证书指纹”字段中,输入生成的 SHA-1 证书指纹
  7. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID。
  8. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

iOS

  1. 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > iOS
  4. 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
  5. 在“软件包 ID”字段中,输入应用的 Info.plist 文件中列出的软件包标识符。
  6. 可选:如果您的应用在 Apple App Store 中显示,请输入 App Store ID。
  7. 可选:在“Team ID”字段中,输入 Apple 生成并分配给您的团队的唯一字符串(由 10 个字符组成)。
  8. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  9. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

Chrome 应用

  1. 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > Chrome 应用
  4. 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
  5. 在“应用 ID”字段中,输入应用的唯一 32 个字符 ID 字符串。您可以在应用的 Chrome 应用商店网址和 Chrome 应用商店开发者信息中心内找到此 ID 值。
  6. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  7. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

桌面应用

  1. 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > 桌面应用
  4. 名称字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
  5. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  6. 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下。

电视和受限输入设备

  1. 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 & gt; 电视和受限输入设备
  4. 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
  5. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  6. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

通用 Windows 平台 (UWP)

  1. 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 点击创建凭据 > OAuth 客户端 ID
  3. 点击应用类型 > 通用 Windows 平台 (UWP)
  4. 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
  5. 在“商店 ID”字段中,输入应用的唯一 12 个字符 Microsoft Store ID 值。您可以在应用的 Microsoft 商店网址和合作伙伴中心内找到此 ID。
  6. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  7. 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

服务帐号凭据

服务帐号是一种供应用(而非个人)使用的特殊帐号。您可以使用服务帐号代表机器人帐号访问数据或执行操作,或者代表 Google Workspace 或 Cloud Identity 用户访问数据。如需了解详情,请参阅了解服务帐号

创建服务帐号

  1. 在 Google Cloud 控制台中,转到“菜单” > IAM 和管理 > 服务帐号

    进入“服务帐号”

  2. 点击创建服务帐号
  3. 填写服务帐号详细信息,然后点击创建并继续
  4. 可选:为服务帐号授予角色,以授予对 Google Cloud 项目资源的访问权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限
  5. 点击继续
  6. 可选:输入可以使用此服务帐号管理和执行操作的用户或群组。如需了解详情,请参阅管理服务帐号模拟
  7. 点击完成

为服务帐号创建凭据

您需要采用公钥/私钥对的形式获取凭据。您的代码使用这些凭据授权在您的应用中执行服务帐号操作。

如需获取服务帐号的凭据,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到“菜单” > IAM 和管理 > 服务帐号

    进入“服务帐号”

  2. 选择您的服务帐号。
  3. 依次点击密钥 > 添加密钥 > 创建新密钥
  4. 选择 JSON,然后点击创建

    您的新公钥/私钥对已生成并作为新文件下载到您的机器上。此文件是此密钥的唯一副本。如需了解如何安全地存储密钥,请参阅管理服务帐号密钥

  5. 点击关闭

可选:为服务帐号设置全网域授权

如需代表 Google Workspace 组织中的用户调用 API,您的服务帐号需要由超级用户帐号在 Google Workspace 管理控制台中进行全网域授权。如需了解详情,请参阅将全网域授权委派给服务帐号

如需为服务帐号设置全网域授权,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到“菜单” > IAM 和管理 > 服务帐号

    进入“服务帐号”

  2. 选择您的服务帐号。
  3. 点击显示高级设置
  4. 在“全网域授权”下,找到您的服务帐号的“客户端 ID”。点击“复制”图标 ,将客户端 ID 值复制到剪贴板。

如果您拥有相关 Google Workspace 帐号的超级用户权限,请点击查看 Google Workspace 管理控制台,然后使用超级用户用户帐号登录,然后按照以下步骤操作。

如果您没有相关 Google Workspace 帐号的超级用户访问权限,请与该帐号的超级用户联系,并将您的服务帐号的客户端 ID 和 OAuth 范围列表发送给他们,以便他们在管理控制台中完成以下步骤。

  1. 在 Google 管理控制台中,转到“菜单” > 安全性 > 访问和数据控制 > API 控件

    转到 API 控件

  2. 点击管理全网域授权
  3. 点击新增
  4. 在“Client-ID”字段中,粘贴您在第 5 步复制的客户端 ID。
  5. 在“OAuth 范围”字段中,输入应用所需的范围列表(以英文逗号分隔)。这与您在配置 OAuth 权限请求页面时定义的范围相同。
  6. 点击授权

后续步骤

您已准备好使用 Google Workspace 进行开发!查看 Google Workspace 开发者产品列表以及如何寻求帮助