创建访问凭据

Stay organized with collections Save and categorize content based on your preferences.

凭据用于从 Google 的授权服务器获取访问令牌,以便您的应用可以调用 Google Workspace API。本指南介绍如何选择和设置应用所需的凭据。

如需了解本页中的术语定义,请参阅身份验证和授权概览

凭据类型

所需的凭据取决于应用的数据类型、平台和访问方法。共有三种类型的凭据类型:

  • API 密钥 - 使用此凭据可以匿名访问您应用中公开提供的数据。

  • OAuth 客户端 ID - 使用此凭据作为最终用户进行身份验证并访问其数据。需要您的应用请求并征得用户的同意。

  • 服务帐号 - 使用此凭据作为机器人服务帐号进行身份验证,或通过全网域授权代表 Google Workspace 或 Cloud Identity 用户访问资源。

提示:根据 Google Cloud 控制台中的“帮我选择”选项,系统会基于一系列问题引导您选择正确的凭据。

API 密钥凭据

API 密钥是包含大小写字母、数字、下划线和连字符的长字符串,如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。此身份验证方法用于匿名访问公开提供的数据,例如使用“互联网上知道此链接的任何人”共享设置共享的 Google Workspace 文件。如需了解详情,请参阅使用 API 密钥

如需创建 API 密钥,请执行以下操作:

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > API 与服务 > 凭据
  3. 点击创建凭据 > API 密钥
  4. 系统会显示您的新 API 密钥。
    • 点击“复制”图标 以复制 API 密钥,以便在应用代码中使用。API 密钥也可以在项目的“API 密钥”部分找到。
    • 点击限制密钥,以更新高级设置并限制对 API 密钥的使用。如需了解详情,请参阅应用 API 密钥限制

OAuth 客户端 ID 凭据

如需以最终用户的身份进行身份验证并访问应用中的用户数据,您需要创建一个或多个 OAuth 2.0 客户端 ID。客户端 ID 用于向 Google 的 OAuth 服务器标识单个应用。如果您的应用在多个平台上运行,您必须为每个平台创建一个单独的客户端 ID。

选择应用类型,详细了解如何创建 OAuth 客户端 ID:

Web 应用

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > API 与服务凭据
  3. 点击创建凭据 > OAuth 客户端 ID
  4. 依次点击应用类型> Web 应用
  5. 在“名称”字段中,输入凭据的名称。此名称仅在 Google Cloud Console 中显示。
  6. 添加与您的应用相关的已授权 URI:
    • 客户端应用 (JavaScript) - 在“已获授权的 JavaScript 来源”下,点击添加 URI。然后,输入一个 URI 以用于浏览器请求。这用于标识您的应用可以从哪些网域向 OAuth 2.0 服务器发送 API 请求。
    • 服务器端应用(Java、Python、.NET 等) - 在“已获授权的重定向 URI”下,点击添加 URI。然后,输入 OAuth 2.0 服务器可向其发送响应的端点 URI。
  7. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  8. 记下客户端 ID。客户端密钥不会用于 Web 应用。
  9. 点击 OK。新创建的凭据显示在“OAuth 2.0 客户端 ID”下。
  10. 可选:如果您创建凭据是 JavaScript 快速入门的先决条件,则还必须生成 API 密钥

Android

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > API 与服务凭据
  3. 点击创建凭据> OAuth 客户端 ID
  4. 点击应用类型 > Android
  5. 在“名称”字段中,输入凭据的名称。此名称仅在 Google Cloud Console 中显示。
  6. 在“软件包名称”字段中,输入 AndroidManifest.xml 文件中的软件包名称。
  7. 在“SHA-1 证书指纹”字段中,输入您的生成的 SHA-1 证书指纹
  8. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中显示了您的新客户端 ID。
  9. 点击 OK。新创建的凭据显示在“OAuth 2.0 客户端 ID”下。

iOS

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > API 与服务凭据
  3. 点击创建凭据> OAuth 客户端 ID
  4. 点击应用类型 > iOS
  5. 在“名称”字段中,输入凭据的名称。此名称仅在 Google Cloud Console 中显示。
  6. 在“软件包 ID”字段中,输入应用的 Info.plist 文件中列出的软件包标识符。
  7. 可选:如果您的应用出现在 Apple App Store 中,请输入 App Store ID。
  8. 可选:在“Team ID”(团队 ID)字段中,输入由 Apple 生成并分配给您的团队的唯一 10 字符字符串。
  9. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  10. 点击 OK。新创建的凭据显示在“OAuth 2.0 客户端 ID”下。

Chrome 应用

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > API 与服务凭据
  3. 点击创建凭据> OAuth 客户端 ID
  4. 点击应用类型 > Chrome 应用
  5. 在“名称”字段中,输入凭据的名称。此名称仅在 Google Cloud Console 中显示。
  6. 在“应用 ID”字段中,输入您的应用的唯一 32 个字符的 ID 字符串。您可以在应用的 Chrome 网上应用店网址和 Chrome 网上应用店开发者信息中心内找到此 ID 值。
  7. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  8. 点击 OK。新创建的凭据显示在“OAuth 2.0 客户端 ID”下。

桌面应用

  1. 在 Google Cloud 控制台中,转到凭据页面。

    进入“凭据”页面

  2. 点击创建凭据> OAuth 客户端 ID
  3. 依次点击应用类型> 桌面应用
  4. 名称字段中,输入凭据的名称。此名称仅在 Google Cloud Console 中显示。
  5. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  6. 点击 OK。新创建的凭据会显示在 OAuth 2.0 客户端 ID 下。

电视受限输入设备

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > API 与服务凭据
  3. 点击创建凭据 > OAuth 客户端 ID
  4. 依次点击应用类型 > 电视和受限输入设备
  5. 在“名称”字段中,输入凭据的名称。此名称仅在 Google Cloud Console 中显示。
  6. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  7. 点击 OK。新创建的凭据显示在“OAuth 2.0 客户端 ID”下。

通用 Windows 平台 (UWP)

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > API 与服务凭据
  3. 点击创建凭据 > OAuth 客户端 ID
  4. 点击应用类型 > 通用 Windows 平台 (UWP)
  5. 在“名称”字段中,输入凭据的名称。此名称仅在 Google Cloud Console 中显示。
  6. 在“商店 ID”字段中,输入您的应用的唯一 Microsoft Store ID 值(由 12 个字符组成)。您可以在应用的 Microsoft Store 网址和合作伙伴中心内找到此 ID。
  7. 点击创建。系统会显示 OAuth 客户端创建的屏幕,其中会显示您的新客户端 ID 和客户端密钥。
  8. 点击 OK。新创建的凭据显示在“OAuth 2.0 客户端 ID”下。

服务帐号凭据

服务帐号是应用(而不是用户)使用的特殊帐号。您可以使用服务帐号来访问数据或执行机器人帐号执行的操作,也可以代表 Google Workspace 或 Cloud Identity 用户访问数据。如需了解详情,请参阅了解服务帐号

创建服务帐号

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > IAM 和管理 服务帐号
  3. 点击创建服务帐号
  4. 填写服务帐号详细信息,然后点击创建并继续
  5. 可选:为服务帐号授予角色,以授予对您的 Google Cloud 项目资源的访问权限。有关详情,请参阅授予、更改和撤消对资源的访问权限
  6. 点击继续
  7. 可选:输入有权使用此服务帐号管理和执行操作的用户或群组。如需了解详情,请参阅管理服务帐号模拟
  8. 点击完成

为服务帐号创建凭据

您需要以公钥/私钥对的形式获取凭据。您的代码使用这些凭据授权在您的应用中执行服务帐号操作。

如需获取服务帐号的凭据,请执行以下操作:

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > IAM 和管理 服务帐号
  3. 选择您的服务帐号。
  4. 依次点击密钥 > 添加密钥 > 创建新密钥
  5. 选择 JSON,然后点击创建

    系统会生成新的公钥/私钥对,并将其作为新文件下载到您的计算机中。此文件是此密钥的唯一副本。如需了解如何安全地存储密钥,请参阅管理服务帐号密钥

  6. 点击关闭

可选:为服务帐号设置全网域授权

如需代表 Google Workspace 组织中的用户调用 API,您的服务帐号需要由超级用户帐号在 Google Workspace 管理控制台中进行全网域授权。如需了解详情,请参阅将全网域授权委派给服务帐号

如需为服务帐号设置全网域授权,请执行以下操作:

  1. 打开 Google Cloud Console
  2. 依次点击左上角的“菜单”图标 > IAM 和管理 服务帐号
  3. 选择您的服务帐号。
  4. 点击显示高级设置
  5. 在“全网域授权”下,找到您的服务帐号“客户 ID”。点击“复制”图标 ,将客户端 ID 值复制到剪贴板。
  6. 点击查看 Google Workspace 管理控制台,然后使用超级用户用户帐号登录。

    注意:如果您没有超级用户对相关 Google Workspace 帐号的访问权限,请与该帐号的超级用户联系,并将您的服务帐号的客户端 ID 和 OAuth 范围列表发送给他们,以便他们在管理控制台中完成以下步骤。

  7. 管理控制台中,依次点击左上角的“菜单”图标 > 安全性 > 访问和数据控制 > API 控件
  8. 点击管理全网域授权
  9. 点击新增
  10. 在“客户端 ID”字段中,粘贴您在第 5 步复制的客户端 ID。
  11. 在“OAuth 范围”字段中,输入应用所需的范围列表(以英文逗号分隔)。这与您在配置 OAuth 权限请求页面时定义的范围相同。
  12. 点击授权

后续步骤

您已准备好在 Google Workspace 中进行开发!查看 Google Workspace 开发者产品列表和如何寻求帮助