Xác thực và uỷ quyền là các cơ chế được dùng để xác minh danh tính và quyền truy cập vào tài nguyên. Tài liệu này trình bày cách xác thực và uỷ quyền hoạt động đối với các yêu cầu của API REST Google Meet.
Hướng dẫn này giải thích cách sử dụng OAuth 2.0 với thông tin đăng nhập Google của người dùng để truy cập vào API REST Meet. Việc xác thực và uỷ quyền bằng thông tin đăng nhập của người dùng cho phép các ứng dụng Meet truy cập vào dữ liệu người dùng và thực hiện các thao tác thay mặt cho người dùng đã xác thực. Bằng cách xác thực thay mặt cho người dùng, ứng dụng có các quyền giống như người dùng đó và có thể thực hiện các hành động như thể người dùng đó thực hiện.
Thuật ngữ quan trọng
Sau đây là danh sách các thuật ngữ liên quan đến xác thực và uỷ quyền:
- Xác thực
Hành động đảm bảo rằng một chủ thể (có thể là người dùng)
hoặc một ứng dụng hành động thay mặt cho người dùng) là người mà họ nói. Khi viết ứng dụng Google Workspace, bạn nên biết về các loại xác thực sau: xác thực người dùng và xác thực ứng dụng. Đối với API REST Meet, bạn chỉ có thể xác thực bằng cách xác thực người dùng.
- uỷ quyền
Quyền hoặc "quyền hạn" mà chủ thể có để truy cập
dữ liệu hoặc thực hiện các thao tác. Việc uỷ quyền được thực hiện thông qua mã mà bạn viết trong ứng dụng. Mã này thông báo cho người dùng rằng ứng dụng muốn hành động thay mặt cho họ và nếu được phép, sẽ sử dụng thông tin đăng nhập duy nhất của ứng dụng để lấy mã truy cập từ Google nhằm truy cập vào dữ liệu hoặc thực hiện các thao tác.
Phạm vi của API REST Meet
Phạm vi uỷ quyền là những quyền mà bạn yêu cầu người dùng uỷ quyền cho ứng dụng của bạn để truy cập vào nội dung cuộc họp. Khi ai đó cài đặt ứng dụng của bạn, người dùng sẽ được yêu cầu xác thực các phạm vi này. Thông thường, bạn nên chọn phạm vi tập trung hẹp nhất có thể và tránh yêu cầu các phạm vi mà ứng dụng của bạn không cần. Người dùng sẵn sàng cấp quyền truy cập vào các phạm vi có giới hạn và được mô tả rõ ràng hơn.
API REST Meet hỗ trợ các phạm vi OAuth 2.0 sau đây:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.settings |
Chỉnh sửa và xem chế độ cài đặt cho tất cả các cuộc gọi trên Google Meet. | Không nhạy cảm |
https://www.googleapis.com/auth/meetings.space.created |
Cho phép ứng dụng tạo, sửa đổi và đọc siêu dữ liệu về các không gian họp do ứng dụng của bạn tạo. | Nhạy cảm |
https://www.googleapis.com/auth/meetings.space.readonly |
Cho phép ứng dụng đọc siêu dữ liệu về bất kỳ không gian họp nào mà người dùng có quyền truy cập. | Nhạy cảm |
https://www.googleapis.com/auth/drive.readonly |
Cho phép ứng dụng tải tệp bản ghi âm và bản chép lời xuống từ API Google Drive. | Bị hạn chế |
Phạm vi OAuth 2.0 liền kề với Meet sau đây nằm trong danh sách phạm vi API Google Drive:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Xem các tệp Drive do Google Meet tạo hoặc chỉnh sửa. | Bị hạn chế |
Cột Cách sử dụng trong bảng cho biết mức độ nhạy cảm của từng phạm vi, theo các định nghĩa sau:
Không nhạy cảm: Các phạm vi này cung cấp phạm vi truy cập uỷ quyền nhỏ nhất và chỉ yêu cầu xác minh ứng dụng cơ bản. Để tìm hiểu thêm, hãy xem bài viết Yêu cầu xác minh.
Nhạy cảm: Các phạm vi này cung cấp quyền truy cập vào dữ liệu người dùng cụ thể của Google do người dùng uỷ quyền cho ứng dụng của bạn. Bạn phải trải qua quy trình xác minh ứng dụng bổ sung. Để tìm hiểu thêm, hãy xem bài viết Yêu cầu về phạm vi nhạy cảm và bị hạn chế.
Bị hạn chế: Các phạm vi này cung cấp quyền truy cập rộng rãi vào dữ liệu người dùng trên Google và yêu cầu bạn phải trải qua quy trình xác minh phạm vi bị hạn chế. Để tìm hiểu thêm, hãy xem Chính sách dữ liệu người dùng của các dịch vụ API của Google và Yêu cầu bổ sung đối với các phạm vi API cụ thể. Nếu lưu trữ dữ liệu phạm vi bị hạn chế trên máy chủ (hoặc truyền dữ liệu), thì bạn phải trải qua quy trình đánh giá bảo mật.
Nếu ứng dụng của bạn yêu cầu quyền truy cập vào bất kỳ API nào khác của Google, bạn cũng có thể thêm các phạm vi đó. Để biết thêm thông tin về phạm vi API của Google, hãy xem bài viết Sử dụng OAuth 2.0 để truy cập vào các API của Google.
Để xác định thông tin nào được hiển thị cho người dùng và người đánh giá ứng dụng, hãy xem bài viết Định cấu hình màn hình xin phép bằng OAuth và chọn phạm vi.
Để biết thêm thông tin về các phạm vi OAuth 2.0 cụ thể, hãy xem bài viết Phạm vi OAuth 2.0 cho các API của Google.
Xác thực và uỷ quyền bằng cách uỷ quyền trên toàn miền
Nếu là quản trị viên miền, bạn có thể cấp quyền uỷ quyền trên toàn miền để uỷ quyền cho tài khoản dịch vụ của ứng dụng truy cập vào dữ liệu người dùng mà không yêu cầu mỗi người dùng phải đồng ý. Sau khi bạn định cấu hình tính năng uỷ quyền trên toàn miền, tài khoản dịch vụ có thể mạo danh tài khoản người dùng. Mặc dù tài khoản dịch vụ được dùng để xác thực, nhưng tính năng uỷ quyền trên toàn miền sẽ mạo danh người dùng và do đó được coi là xác thực người dùng. Mọi tính năng yêu cầu xác thực người dùng đều có thể sử dụng tính năng uỷ quyền trên toàn miền.
Chủ đề có liên quan
Để biết thông tin tổng quan về quy trình xác thực và uỷ quyền trong Google Workspace, hãy xem bài viết Tìm hiểu về quy trình xác thực và uỷ quyền.
Để biết thông tin tổng quan về quy trình xác thực và uỷ quyền trong Google Cloud, hãy xem bài viết Phương thức xác thực tại Google.