凭据用于从 Google 的授权服务器获取访问令牌,以便您的应用可以调用 Google Workspace API。本指南介绍如何选择和设置您的应用所需的凭据。
如需查看本页中的术语定义,请参阅身份验证和授权概览。
凭据类型
所需的凭据取决于应用的数据类型、平台和访问方法。可用的凭据类型有三种:
API 密钥 - 使用此凭据可匿名访问您应用中公开提供的数据。
OAuth 客户端 ID - 使用此凭据作为最终用户进行身份验证并访问其数据。需要您的应用请求并征求用户的同意。
服务帐号 - 使用此凭据作为机器人服务帐号进行身份验证,或通过全网域授权代表 Google Workspace 或 Cloud Identity 用户访问资源。
提示:根据 Google Cloud 控制台中的“帮我选择”选项,系统将根据一系列问题指导您选择正确的凭据。
API 密钥凭据
API 密钥是包含大小写字母、数字、下划线和连字符(例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe
)的长字符串。此身份验证方法用于以匿名方式访问公开提供的数据,例如使用“互联网上知道此链接的任何人”共享设置共享的 Google Workspace 文件。如需了解详情,请参阅使用 API 密钥。
如需创建 API 密钥,请执行以下操作:
- 在 Google Cloud 控制台中,转到“菜单”> API 和服务 > 凭据。
- 依次点击创建凭据 > API 密钥。
- 系统会显示您的新 API 密钥。
- 点击“Copy” 以复制您的 API 密钥,以便在应用代码中使用。API 密钥也可以在项目凭据的“API 密钥”部分找到。
- 点击限制密钥,以更新高级设置并限制对您的 API 密钥的使用。如需了解详情,请参阅应用 API 密钥限制。
OAuth 客户端 ID 凭据
如需以最终用户的身份进行身份验证并访问应用中的用户数据,您需要创建一个或多个 OAuth 2.0 客户端 ID。客户端 ID 用于向 Google 的 OAuth 服务器标识单个应用。如果您的应用在多个平台上运行,您必须为每个平台创建单独的客户端 ID。选择应用类型,详细了解如何创建 OAuth 客户端 ID:
Web 应用
- 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > OAuth 客户端 ID。
- 依次点击应用类型 > Web 应用。
- 在名称字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
- 添加与您的应用相关的已获授权的 URI:
- 客户端应用 (JavaScript) - 在已获授权的 JavaScript 来源下,点击添加 URI。然后,输入要用于浏览器请求的 URI。标识您的应用可以从哪些网域向 OAuth 2.0 服务器发送 API 请求。
- 服务器端应用(Java、Python 等) - 在已获授权的重定向 URI 下,点击添加 URI。然后,输入 OAuth 2.0 服务器可以将响应发送到的端点 URI。
- 点击创建。系统随即会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
记下客户端 ID。Web 应用不使用客户端密钥。
- 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下。
- 可选:如果您要创建凭据作为 JavaScript 快速入门的前提条件,则还必须生成 API 密钥。
Android
- 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > OAuth 客户端 ID。
- 依次点击应用类型 > Android。
- 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
- 在“软件包名称”字段中,输入
AndroidManifest.xml
文件中的软件包名称。 - 在“SHA-1 证书指纹”字段中,输入生成的 SHA-1 证书指纹。
- 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID。
- 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。
iOS
- 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > OAuth 客户端 ID。
- 依次点击应用类型 > iOS。
- 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
- 在“软件包 ID”字段中,输入应用的
Info.plist
文件中列出的软件包标识符。 - 可选:如果您的应用在 Apple App Store 中显示,请输入 App Store ID。
- 可选:在“Team ID”字段中,输入 Apple 生成并分配给您的团队的唯一字符串(由 10 个字符组成)。
- 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
- 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。
Chrome 应用
- 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > OAuth 客户端 ID。
- 依次点击应用类型 > Chrome 应用。
- 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
- 在“应用 ID”字段中,输入应用的唯一 32 个字符 ID 字符串。您可以在应用的 Chrome 应用商店网址和 Chrome 应用商店开发者信息中心内找到此 ID 值。
- 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
- 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。
桌面应用
- 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > OAuth 客户端 ID。
- 依次点击应用类型 > 桌面应用。
- 在名称字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
- 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
- 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下。
电视和受限输入设备
- 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > OAuth 客户端 ID。
- 依次点击应用类型 & gt; 电视和受限输入设备。
- 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
- 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
- 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。
通用 Windows 平台 (UWP)
- 在 Google Cloud 控制台中,转到“菜单”图标 > API 和服务 > 凭据。
- 点击创建凭据 > OAuth 客户端 ID。
- 点击应用类型 > 通用 Windows 平台 (UWP)。
- 在“名称”字段中,输入凭据名称。此名称仅显示在 Google Cloud 控制台中。
- 在“商店 ID”字段中,输入应用的唯一 12 个字符 Microsoft Store ID 值。您可以在应用的 Microsoft 商店网址和合作伙伴中心内找到此 ID。
- 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
- 点击 OK。新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。
服务帐号凭据
服务帐号是一种供应用(而非个人)使用的特殊帐号。您可以使用服务帐号代表机器人帐号访问数据或执行操作,或者代表 Google Workspace 或 Cloud Identity 用户访问数据。如需了解详情,请参阅了解服务帐号。创建服务帐号
- 在 Google Cloud 控制台中,转到“菜单”> IAM 和管理 > 服务帐号。
- 点击创建服务帐号。
- 填写服务帐号详细信息,然后点击创建并继续。
- 可选:为服务帐号授予角色,以授予对 Google Cloud 项目资源的访问权限。如需了解详情,请参阅授予、更改和撤消对资源的访问权限。
- 点击继续。
- 可选:输入可以使用此服务帐号管理和执行操作的用户或群组。如需了解详情,请参阅管理服务帐号模拟。
- 点击完成。
为服务帐号创建凭据
您需要采用公钥/私钥对的形式获取凭据。您的代码使用这些凭据授权在您的应用中执行服务帐号操作。如需获取服务帐号的凭据,请执行以下操作:
- 在 Google Cloud 控制台中,转到“菜单”> IAM 和管理 > 服务帐号。
- 选择您的服务帐号。
- 依次点击密钥 > 添加密钥 > 创建新密钥。
- 选择 JSON,然后点击创建。
您的新公钥/私钥对已生成并作为新文件下载到您的机器上。此文件是此密钥的唯一副本。如需了解如何安全地存储密钥,请参阅管理服务帐号密钥。
- 点击关闭。
可选:为服务帐号设置全网域授权
如需代表 Google Workspace 组织中的用户调用 API,您的服务帐号需要由超级用户帐号在 Google Workspace 管理控制台中进行全网域授权。如需了解详情,请参阅将全网域授权委派给服务帐号。如需为服务帐号设置全网域授权,请执行以下操作:
- 在 Google Cloud 控制台中,转到“菜单”> IAM 和管理 > 服务帐号。
- 选择您的服务帐号。
- 点击显示高级设置。
- 在“全网域授权”下,找到您的服务帐号的“客户端 ID”。点击“复制”图标 ,将客户端 ID 值复制到剪贴板。
如果您拥有相关 Google Workspace 帐号的超级用户权限,请点击查看 Google Workspace 管理控制台,然后使用超级用户用户帐号登录,然后按照以下步骤操作。
如果您没有相关 Google Workspace 帐号的超级用户访问权限,请与该帐号的超级用户联系,并将您的服务帐号的客户端 ID 和 OAuth 范围列表发送给他们,以便他们在管理控制台中完成以下步骤。
- 在 Google 管理控制台中,转到“菜单”> 安全性 > 访问和数据控制 > API 控件。
- 点击管理全网域授权。
- 点击新增。
- 在“Client-ID”字段中,粘贴您在第 5 步复制的客户端 ID。
- 在“OAuth 范围”字段中,输入应用所需的范围列表(以英文逗号分隔)。这与您在配置 OAuth 权限请求页面时定义的范围相同。
- 点击授权。
后续步骤
您已准备好使用 Google Workspace 进行开发!查看 Google Workspace 开发者产品列表以及如何寻求帮助。