创建访问凭据

凭据用于从 Google 的授权服务器获取访问令牌,以便您的应用可以调用 Google Workspace API。本指南介绍如何选择和设置应用所需的凭据。

如需查看本页中的术语定义,请参阅身份验证和授权概览

选择适合您的访问凭据

所需的凭据取决于应用的数据类型、平台和访问方法。可用的凭据类型有三种:

使用场景 身份验证方法 关于这种身份验证方法
匿名访问您的应用中公开的数据。 API 密钥 请先确认您要使用的 API 支持 API 密钥,然后再使用此身份验证方法。
访问用户数据,例如电子邮件地址或年龄。 OAuth 客户端 ID 要求您的应用请求用户同意并征得用户同意。
通过全网域授权,访问属于您自己应用的数据或代表 Google Workspace 或 Cloud Identity 用户访问资源。 服务帐号 当应用作为服务帐号进行身份验证时,它可以访问该服务帐号有权访问的所有资源。

API 密钥凭据

API 密钥是一个长字符串,包含大小写字母、数字、下划线和连字符,例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。此身份验证方法用于匿名访问公开数据,例如使用“任何知道此链接的互联网上的用户”共享设置共享的 Google Workspace 文件。如需了解详情,请参阅使用 API 密钥

如需创建 API 密钥,请执行以下操作:

  1. 在 Google Cloud 控制台中,点击“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > API 密钥
  3. 此时将显示您的新 API 密钥。
    • 点击“复制”图标 ,复制 API 密钥,以便在应用代码中使用。您也可以在项目凭据的“API 密钥”部分找到 API 密钥。
    • 点击限制密钥以更新高级设置并限制 API 密钥的使用。如需了解详情,请参阅应用 API 密钥限制

OAuth 客户端 ID 凭据

如需作为最终用户进行身份验证并访问应用中的用户数据,您需要创建一个或多个 OAuth 2.0 客户端 ID。客户端 ID 用于向 Google 的 OAuth 服务器识别单个应用。如果您的应用在多个平台上运行,您必须为每个平台创建单独的客户端 ID。

选择应用类型,详细了解如何创建 OAuth 客户端 ID:

Web 应用

  1. 在 Google Cloud 控制台中,依次转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > Web 应用
  4. 名称字段中,输入凭据名称。此名称仅在 Google Cloud Console 中显示。
  5. 添加与您的应用相关的已获授权的 URI:
    • 客户端应用 (JavaScript) - 在已获授权的 JavaScript 来源下,点击添加 URI。然后输入用于浏览器请求的 URI。用于标识您的应用可以从哪些网域向 OAuth 2.0 服务器发送 API 请求。
    • 服务器端应用(Java、Python 等)- 在已获授权的重定向 URI 下,点击添加 URI。然后,输入 OAuth 2.0 服务器可向其发送响应的端点 URI。
  6. 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。

    记下客户端 ID。Web 应用不使用客户端密钥。

  7. 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下方。

Android

  1. 在 Google Cloud 控制台中,依次转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > Android
  4. 在“名称”字段中,输入凭据名称。此名称仅在 Google Cloud Console 中显示。
  5. 在“软件包名称”字段中,输入 AndroidManifest.xml 文件中的软件包名称。
  6. 在“SHA-1 证书指纹”字段中,输入生成的 SHA-1 证书指纹
  7. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID。
  8. 点击 OK。新创建的凭据会显示在“OAuth 2.0 Client ID”下。

iOS

  1. 在 Google Cloud 控制台中,依次转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > iOS
  4. 在“名称”字段中,输入凭据名称。此名称仅在 Google Cloud Console 中显示。
  5. 在“软件包 ID”字段中,输入应用的 Info.plist 文件中列出的软件包标识符。
  6. 可选:如果您的应用显示在 Apple App Store 中,请输入 App Store ID。
  7. 可选:在“Team ID”(团队 ID)字段中,输入由 Apple 生成并分配给您的团队的唯一 10 个字符的字符串。
  8. 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示新的客户端 ID 和客户端密钥。
  9. 点击 OK。新创建的凭据会显示在“OAuth 2.0 Client ID”下。

Chrome 应用

  1. 在 Google Cloud 控制台中,依次转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > Chrome 应用
  4. 在“名称”字段中,输入凭据名称。此名称仅在 Google Cloud Console 中显示。
  5. 在“应用 ID”字段中,输入应用的唯一 32 个字符的 ID 字符串。您可以在应用的 Chrome 应用商店网址和 Chrome 应用商店开发者信息中心内找到此 ID 值。
  6. 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示新的客户端 ID 和客户端密钥。
  7. 点击 OK。新创建的凭据会显示在“OAuth 2.0 Client ID”下。

桌面应用

  1. 在 Google Cloud 控制台中,依次转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > 桌面应用
  4. 名称字段中,输入凭据名称。此名称仅在 Google Cloud Console 中显示。
  5. 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示新的客户端 ID 和客户端密钥。
  6. 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下方。

电视和受限输入设备

  1. 在 Google Cloud 控制台中,依次转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > 电视和受限输入设备
  4. 在“名称”字段中,输入凭据名称。此名称仅在 Google Cloud Console 中显示。
  5. 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示新的客户端 ID 和客户端密钥。
  6. 点击 OK。新创建的凭据会显示在“OAuth 2.0 Client ID”下。

通用 Windows 平台 (UWP)

  1. 在 Google Cloud 控制台中,依次转到“菜单”图标 > API 和服务 > 凭据

    进入“凭据”页面

  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 依次点击应用类型 > 通用 Windows 平台 (UWP)
  4. 在“名称”字段中,输入凭据名称。此名称仅在 Google Cloud Console 中显示。
  5. 在“商店 ID”字段中,输入应用的唯一 12 个字符的 Microsoft 商店 ID 值。您可以在应用的 Microsoft 商店网址和合作伙伴中心内找到此 ID。
  6. 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示新的客户端 ID 和客户端密钥。
  7. 点击 OK。新创建的凭据会显示在“OAuth 2.0 Client ID”下。

服务帐号凭据

服务帐号是应用(而非人员)使用的特殊帐号。您可以使用服务帐号来访问数据或由机器人帐号执行操作,或者代表 Google Workspace 或 Cloud Identity 用户访问数据。如需了解详情,请参阅了解服务帐号

创建服务帐号

  1. 在 Google Cloud 控制台中,点击“菜单”图标 > IAM 和管理 > 服务帐号

    进入“服务帐号”

  2. 点击创建服务帐号
  3. 填写服务帐号详细信息,然后点击创建并继续
  4. 可选:为服务帐号分配角色,以授予对您的 Google Cloud 项目资源的访问权限。有关详情,请参阅授予、更改和撤消对资源的访问权限
  5. 点击继续
  6. 可选:输入有权使用此服务帐号管理和执行操作的用户或群组。如需了解详情,请参阅管理服务帐号模拟
  7. 点击完成。记下服务帐号的电子邮件地址。

为服务帐号分配角色

您必须通过超级用户帐号将预构建角色或自定义角色分配给服务帐号。

  1. 在 Google 管理控制台中,转到“菜单”图标 > 帐号 > 管理员角色

  2. 将光标指向您要分配的角色,然后点击分配管理员

  3. 点击分配服务帐号

  4. 输入服务帐号的电子邮件地址。

  5. 点击添加 > 分配角色

为服务帐号创建凭据

您需要以公钥/私钥对的形式获取凭据。您的代码使用这些凭据来授权在您的应用中的服务帐号操作。

如需获取服务帐号的凭据,请执行以下操作:

  1. 在 Google Cloud 控制台中,点击“菜单”图标 > IAM 和管理 > 服务帐号

    进入“服务帐号”

  2. 选择您的服务帐号。
  3. 依次点击密钥 > 添加密钥 > 创建新密钥
  4. 选择 JSON,然后点击创建

    系统会为您生成新公钥/私钥对,并将其作为新文件下载到您的计算机。此文件是此密钥的唯一副本。如需了解如何安全地存储密钥,请参阅管理服务帐号密钥

  5. 点击关闭

可选:为服务帐号设置全网域授权功能

若要代表 Google Workspace 组织中的用户调用 API,您的服务帐号需要获得超级用户帐号在 Google Workspace 管理控制台中的全网域授权。如需了解详情,请参阅将全网域授权委托给服务帐号

如需为服务帐号设置全网域授权,请执行以下操作:

  1. 在 Google Cloud 控制台中,点击“菜单”图标 > IAM 和管理 > 服务帐号

    进入“服务帐号”

  2. 选择您的服务帐号。
  3. 点击显示高级设置
  4. 在“全网域授权”下,找到您的服务帐号的“客户端 ID”。点击“复制”图标 ,将客户端 ID 值复制到剪贴板。

  5. 如果您拥有对相关 Google Workspace 帐号的超级用户访问权限,请点击查看 Google Workspace 管理控制台,然后使用超级用户用户帐号登录,并继续执行这些步骤。

    如果您没有相关 Google Workspace 帐号的超级用户权限,请与该帐号的超级用户联系,并将您的服务帐号的客户端 ID 和 OAuth 范围列表发送给他们,以便他们在管理控制台中完成以下步骤。

    1. 在 Google 管理控制台中,点击“菜单”图标 > 安全性 > 访问权限和数据控制 > API 控件

      前往 API 控件

    2. 点击管理全网域授权
    3. 点击新增
    4. 在“Client-ID”字段中,粘贴您之前复制的客户端 ID。
    5. 在“OAuth 范围”字段中,输入应用所需的范围列表(以英文逗号分隔)。该范围就是您在配置 OAuth 权限请求页面时定义的一组范围。
    6. 点击授权

后续步骤

您已准备好使用 Google Workspace 进行开发!查看 Google Workspace 开发者产品列表和如何寻求帮助