Dane logowania służą do uzyskiwania tokena dostępu z serwerów autoryzacji Google, aby aplikacja mogła wywoływać interfejsy Google Workspace API. Z tego przewodnika dowiesz się, jak wybrać i skonfigurować dane logowania potrzebne Twojej aplikacji.
Definicje terminów używanych na tej stronie znajdziesz w artykule Omówienie uwierzytelniania i autoryzacji.
Wybierz odpowiednie dane logowania
Wymagane dane logowania zależą od typu danych, platformy i metody dostępu aplikacji. Dostępne są 3 typy danych logowania:
| Przypadek użycia | Metoda uwierzytelniania | Informacje o tej metodzie uwierzytelniania |
|---|---|---|
| Anonimowy dostęp do publicznie dostępnych danych w aplikacji. | Klucze interfejsu API | Zanim użyjesz tej metody uwierzytelniania, sprawdź, czy interfejs API, którego chcesz użyć, obsługuje klucze interfejsu API. |
| Dostęp do danych użytkownika, takich jak adres e-mail czy wiek. | Identyfikator klienta OAuth | Wymaga, aby aplikacja poprosiła użytkownika o zgodę i ją otrzymała. |
| Dostęp do danych należących do Twojej aplikacji lub dostęp do zasobów w imieniu użytkowników Google Workspace lub Cloud Identity za pomocą przekazywania dostępu w całej domenie. | Konto usługi | Gdy aplikacja uwierzytelnia się jako konto usługi, ma dostęp do wszystkich zasobów, do których to konto usługi ma uprawnienia. |
Dane logowania w postaci klucza interfejsu API
Klucz interfejsu API to długi ciąg znaków zawierający wielkie i małe litery, cyfry, podkreślenia i łączniki, np. AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe.
Ta metoda uwierzytelniania służy do anonimowego dostępu do publicznie dostępnych danych, takich jak pliki Google Workspace udostępnione z ustawieniem udostępniania „Każda osoba w internecie, która ma ten link”. Więcej informacji znajdziesz w artykule
Używanie kluczy interfejsu API.
Aby utworzyć klucz interfejsu API:
- W konsoli Google Cloud otwórz Menu > Interfejsy API i usługi > Dane logowania.
- Kliknij Utwórz dane logowania > Klucz interfejsu API.
- Wyświetli się nowy klucz interfejsu API.
- Aby skopiować klucz interfejsu API do użycia w kodzie aplikacji, kliknij Kopiuj . Klucz interfejsu API można też znaleźć w sekcji „Klucze interfejsu API” w danych logowania projektu.
- Aby można było zapobiec nieautoryzowanemu użyciu, zalecamy ograniczenie miejsc i interfejsów API, w których można używać klucza interfejsu API. Więcej informacji znajdziesz w artykule Dodawanie ograniczeń interfejsu API.
Dane logowania w postaci identyfikatora klienta OAuth
Aby uwierzytelniać użytkowników końcowych i uzyskiwać dostęp do danych użytkowników w aplikacji, musisz utworzyć co najmniej 1 identyfikator klienta OAuth 2.0. Identyfikator klienta wskazuje konkretną aplikację na serwerach OAuth Google. Jeśli Twoja aplikacja działa na kilku platformach, musisz utworzyć osobny identyfikator klienta dla każdej z nich.Aby uzyskać szczegółowe instrukcje tworzenia identyfikatora klienta OAuth, wybierz typ aplikacji:
Aplikacja internetowa
- W Konsoli interfejsów API Google otwórz Menu > Platforma uwierzytelniania Google > Klienci.
- Kliknij Utwórz klienta.
- Kliknij Typ aplikacji > Aplikacja internetowa.
- W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w Konsoli interfejsów API Google.
- Dodaj autoryzowane identyfikatory URI powiązane z Twoją aplikacją:
- Aplikacje po stronie klienta (JavaScript) – w sekcji Autoryzowane źródła JavaScriptu kliknij Dodaj URI. Następnie wpisz identyfikator URI, który ma być używany w przypadku żądań przeglądarki. Określa on domeny, z których aplikacja może wysyłać żądania interfejsu API do serwera OAuth 2.0.
- Aplikacje po stronie serwera (Java, Python itp.)– w sekcji Autoryzowane identyfikatory URI przekierowania kliknij Dodaj URI. Następnie wpisz identyfikator URI punktu końcowego, do którego serwer OAuth 2.0 może wysyłać odpowiedzi.
- Kliknij Utwórz.
Nowo utworzone dane logowania pojawią się w sekcji Identyfikatory klienta OAuth 2.0.
Zapisz identyfikator klienta. W przypadku aplikacji internetowych nie używa się kluczy klienta.
Android
- W Konsoli interfejsów API Google otwórz Menu > Platforma uwierzytelniania Google > Klienci.
- Kliknij Utwórz klienta.
- Kliknij Typ aplikacji > Android.
- W polu „Nazwa” wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w Konsoli interfejsów API Google.
- W polu „Nazwa pakietu” wpisz nazwę pakietu z pliku
AndroidManifest.xml. - W polu „Odcisk cyfrowy certyfikatu SHA-1” wpisz wygenerowany odcisk cyfrowy certyfikatu SHA-1.
- Kliknij Utwórz.
Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.
iOS
- W Konsoli interfejsów API Google otwórz Menu > Platforma uwierzytelniania Google > Klienci.
- Kliknij Utwórz klienta.
- Kliknij Typ aplikacji > iOS.
- W polu „Nazwa” wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w Konsoli interfejsów API Google.
- W polu „Identyfikator pakietu” wpisz identyfikator pakietu podany w pliku
Info.plistaplikacji. - Opcjonalnie: jeśli Twoja aplikacja jest dostępna w Apple App Store, wpisz identyfikator App Store.
- Opcjonalnie: w polu „Identyfikator zespołu” wpisz niepowtarzalny ciąg 10 znaków wygenerowany przez Apple, który został przypisany Twojemu zespołowi.
- Kliknij Utwórz.
Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.
Rozszerzenie do Chrome
- W Konsoli interfejsów API Google otwórz Menu > Platforma uwierzytelniania Google > Klienci.
- Kliknij Utwórz klienta.
- Kliknij Typ aplikacji > Rozszerzenie do Chrome.
- W polu „Nazwa” wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w Konsoli interfejsów API Google.
- W polu „Identyfikator produktu” wpisz unikalny 32-znakowy ciąg identyfikatora aplikacji. Wartość tego identyfikatora znajdziesz w adresie URL aplikacji w Chrome Web Store oraz w panelu dewelopera Chrome Web Store.
- Kliknij Utwórz.
Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.
Aplikacja komputerowa
- W Konsoli interfejsów API Google otwórz Menu > Platforma uwierzytelniania Google > Klienci.
- Kliknij Utwórz klienta.
- Kliknij Typ aplikacji > Aplikacja komputerowa.
- W polu Nazwa wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w Konsoli interfejsów API Google.
- Kliknij Utwórz.
Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.
TV i urządzenia z ograniczoną możliwością wpisywania
- W Konsoli interfejsów API Google otwórz Menu > Platforma uwierzytelniania Google > Klienci.
- Kliknij Utwórz klienta.
- Kliknij Typ aplikacji > TV i urządzenia z ograniczoną możliwością wpisywania.
- W polu „Nazwa” wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w Konsoli interfejsów API Google.
- Kliknij Utwórz.
Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.
Universal Windows Platform (UWP)
- W Konsoli interfejsów API Google otwórz Menu > Platforma uwierzytelniania Google > Klienci.
- Kliknij Utwórz klienta.
- Kliknij Typ aplikacji > Universal Windows Platform (UWP).
- W polu „Nazwa” wpisz nazwę danych logowania. Ta nazwa jest widoczna tylko w Konsoli interfejsów API Google.
- W polu „Identyfikator sklepu” wpisz unikalny 12-znakowy identyfikator aplikacji w Microsoft Store. Ten identyfikator znajdziesz w adresie URL aplikacji w Microsoft Store oraz w Centrum partnerskim.
- Kliknij Utwórz.
Nowo utworzone dane logowania pojawią się w sekcji „Identyfikatory klienta OAuth 2.0”.
Dane logowania na konto usługi
Konto usługi to specjalny rodzaj konta używanego przez aplikację, a nie osobę. Możesz używać konta usługi, aby uzyskiwać dostęp do danych lub wykonywać działania za pomocą konta robota albo uzyskiwać dostęp do danych w imieniu użytkowników Google Workspace lub Cloud Identity. Więcej informacji znajdziesz w artykule Informacje o kontach usługi.Tworzenie konta usługi
Konsola interfejsów API Google
- W Konsoli interfejsów API Google otwórz Menu > Uprawnienia i administracja > Konta usługi.
- Kliknij Utwórz konto usługi.
- Wypełnij dane konta usługi, a potem kliknij Utwórz i kontynuuj.
- Opcjonalnie: przypisz role do konta usługi, aby przyznać mu dostęp do zasobów projektu Google Cloud. Więcej informacji znajdziesz w artykule Przyznawanie, zmienianie i odbieranie uprawnień do zasobów.
- Kliknij Dalej.
- Opcjonalnie: wpisz użytkowników lub grupy, którzy mogą zarządzać tym kontem usługi i wykonywać na nim działania. Więcej informacji znajdziesz w artykule Zarządzanie przejmowaniem tożsamości konta usługi.
- Kliknij Gotowe. Zapisz adres e-mail konta usługi.
gcloud CLI
- Utwórz konto usługi:
gcloud iam service-accounts createSERVICE_ACCOUNT_NAME\ --display-name="SERVICE_ACCOUNT_NAME" - Opcjonalnie: przypisz role do konta usługi, aby przyznać mu dostęp do zasobów projektu Google Cloud. Więcej informacji znajdziesz w artykule Przyznawanie, zmienianie i odbieranie uprawnień do zasobów.
Przypisywanie roli do konta usługi
Do konta usługi musisz przypisać gotową lub rolę niestandardową za pomocą konta superadministratora.
W konsoli administracyjnej Google otwórz Menu > Konto > Role administratora.
Wskaż rolę, którą chcesz przypisać, a potem kliknij Przypisz administratora.
Kliknij Przypisz konta usługi.
Wpisz adres e-mail konta usługi.
Kliknij Dodaj > Przypisz rolę.
Tworzenie danych logowania do konta usługi
Musisz uzyskać dane logowania w postaci pary kluczy publicznego i prywatnego. Te dane logowania są używane przez Twój kod do autoryzowania działań konta usługi w aplikacji.Aby uzyskać dane logowania do konta usługi:
- W konsoli Google Cloud otwórz Menu > Uprawnienia i administracja > Konta usługi.
- Wybierz konto usługi.
- Kliknij Klucze > Dodaj klucz > Utwórz nowy klucz.
- Wybierz JSON, a potem kliknij Utwórz.
Nowa para kluczy publicznego i prywatnego zostanie wygenerowana i pobrana na Twoje urządzenie jako nowy plik. Zapisz pobrany plik JSON jako
credentials.jsonw swoim katalogu roboczym. Ten plik jest jedyną kopią tego klucza. Informacje o tym, jak bezpiecznie przechowywać klucz, znajdziesz w artykule Zarządzanie kluczami konta usługi. - Kliknij Zamknij.
Opcjonalnie: konfigurowanie przekazywania dostępu w całej domenie dla konta usługi
Aby wywoływać interfejsy API w imieniu użytkowników organizacji Google Workspace, konto usługi musi mieć przyznane przekazywanie dostępu w całej domenie w konsoli administracyjnej Google Workspace przez konto superadministratora. Więcej informacji znajdziesz w artykule Przekazywanie kontu usługi uprawnień do całej domeny.Aby skonfigurować przekazywanie dostępu w całej domenie dla konta usługi:
- W konsoli Google Cloud otwórz Menu > Uprawnienia i administracja > Konta usługi.
- Wybierz konto usługi.
- Kliknij Pokaż ustawienia zaawansowane.
- W sekcji „Przekazywanie dostępu w całej domenie” znajdź „Identyfikator klienta” konta usługi. Aby skopiować wartość identyfikatora klienta do schowka, kliknij Kopiuj .
Jeśli masz dostęp superadministratora do odpowiedniego konta Google Workspace, kliknij Wyświetl konsolę administracyjną Google Workspace, a potem zaloguj się za pomocą konta superadministratora i wykonaj te czynności.
Jeśli nie masz dostępu superadministratora do odpowiedniego konta Google Workspace, skontaktuj się z superadministratorem tego konta i prześlij mu identyfikator klienta konta usługi oraz listę zakresów OAuth, aby mógł wykonać te czynności w konsoli administracyjnej.
- W konsoli administracyjnej Google otwórz Menu > Bezpieczeństwo > Dostęp do danych i kontrola nad nimi > Dostęp do interfejsów API.
- Kliknij Zarządzaj przekazywaniem dostępu w całej domenie.
- Kliknij Dodaj domenę.
- W polu „Identyfikator klienta” wklej skopiowany wcześniej identyfikator klienta.
- W polu „Zakresy OAuth” wpisz rozdzieloną przecinkami listę zakresów wymaganych przez aplikację. Jest to ten sam zestaw zakresów, który został zdefiniowany podczas konfigurowania ekranu zgody OAuth.
- Kliknij Autoryzuj.
Następny krok
Możesz już tworzyć aplikacje w Google Workspace. Zapoznaj się z listą usług Google Workspace dla deweloperów i dowiedz się, jak uzyskać pomoc.