本文档包含 Google Drive API 专属的授权和身份验证信息。在阅读本文档之前,请务必先阅读 了解身份验证和授权,了解 Google Workspace 的一般身份验证和授权信息。
配置 OAuth 2.0 以进行授权
配置 OAuth 权限请求页面并选择范围,以定义向用户和应用审核者显示哪些信息,并注册应用以便以后发布。
Drive API 范围
如需定义授予应用的访问权限级别,您需要确定并声明授权范围。授权范围是一个 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、应用访问的数据类型以及访问权限级别。范围是您的应用对使用 Google Workspace 数据(包括用户的 Google 账号数据)的请求。
当应用安装完毕后,系统会要求用户验证应用使用的范围。一般来说,您应尽可能选择范围最窄的权限,并避免请求应用不需要的权限。用户更乐意向描述清晰的有限范围授予访问权限。
我们建议尽可能使用非敏感范围,因为这样可以授予每个文件的访问范围,并缩小对应用所需特定功能的访问权限。
Drive API 支持以下范围:
| 范围代码 | 说明 | 用法 |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
在您的 Google 云端硬盘中查看和管理应用自身的配置数据。 | 推荐 非敏感 |
https://www.googleapis.com/auth/drive.install |
允许应用显示为“打开方式”或“新建”菜单中的一个选项。 | 推荐 非敏感 |
https://www.googleapis.com/auth/drive.file |
创建新的云端硬盘文件,或修改您使用应用打开的现有文件,或用户在使用 Google Picker API 或应用的文件选择器时与应用共享的文件。 | 推荐 非敏感 |
https://www.googleapis.com/auth/drive.apps.readonly |
查看已获授权访问您云端硬盘的应用。 | 敏感 |
https://www.googleapis.com/auth/drive |
查看和管理您的所有云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.readonly |
查看和下载您的所有云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.activity |
查看和添加云端硬盘中文件的活动记录。 | 受限 |
https://www.googleapis.com/auth/drive.activity.readonly |
查看云端硬盘中的文件的活动记录。 | 受限 |
https://www.googleapis.com/auth/drive.meet.readonly |
查看由 Google Meet 创建或修改的云端硬盘文件。 | 受限 |
https://www.googleapis.com/auth/drive.metadata |
查看和管理您云端硬盘中文件的元数据。 | 受限 |
https://www.googleapis.com/auth/drive.metadata.readonly |
查看云端硬盘中文件的元数据。 | 受限 |
https://www.googleapis.com/auth/drive.scripts |
修改用 Google Apps 脚本语言编写的脚本的行为。 | 受限 |
上表中的“使用情况”列根据以下定义指明了每个范围的敏感度:
推荐 / 非敏感:这些范围提供的授权访问权限范围最小,仅需要进行基本应用验证。如需了解此要求,请参阅验证要求。
推荐 / 敏感:这些范围可让您访问用户授权您的应用访问的特定 Google 用户数据。您需要完成额外的应用验证。如需了解此要求,请参阅敏感范围和受限范围要求。
受限:这些范围可广泛访问 Google 用户数据,因此您需要完成受限范围验证流程。如需了解此要求,请参阅 Google API 服务用户数据政策和针对特定 API 范围的其他要求。 如果您在服务器上存储(或传输)受限范围的数据,则必须接受安全性评估。
如果您的应用需要访问任何其他 Google API,您也可以添加这些范围。如需详细了解 Google API 范围,请参阅使用 OAuth 2.0 访问 Google API。
如需详细了解特定的 OAuth 2.0 范围,请参阅适用于 Google API 的 OAuth 2.0 范围。
OAuth 验证
使用某些 OAuth 范围可能需要您的应用通过 OAuth 应用验证帮助中心。 请阅读 OAuth 应用常见问题解答,确定您的应用何时应完成验证以及需要哪种类型的验证。另请参阅《Google 云端硬盘服务条款》。
何时使用受限范围
对于云端硬盘,只有以下应用类型可以访问受限范围:
- 提供本地同步或自动备份用户云端硬盘文件的平台专用应用和 Web 应用。
- 用户界面可能涉及与云端硬盘文件(或其元数据或权限)互动的效率类和教育类应用。高效办公应用包括任务管理、记笔记、工作群组通信和课堂协作应用。
- 可让用户或客户深入了解文件共享或访问方式的报告和安全应用。
如需继续使用受限范围,您应为受限范围验证做好应用准备。
将现有应用从受限范围迁移
如果您使用任何受限范围开发了 Google 云端硬盘应用,我们建议您迁移应用以使用非敏感范围,因为该范围可授予每个文件的访问权限范围,并缩小对应用所需特定功能的访问权限。许多应用无需任何更改即可使用每个文件的访问权限。如果您使用的是自己的文件选择器,建议您改用 Google Picker API,该 API 完全支持不同的范围。
drive.file OAuth 范围的优势
使用 drive.file OAuth 范围和 Google Picker API 可优化用户体验并提高应用安全性。
借助 drive.file OAuth 范围,用户可以选择要与您的应用共享哪些文件。这样一来,用户可以更好地控制应用对文件的访问权限,并更放心地使用您的应用。相比之下,要求广泛访问所有云端硬盘文件可能会让用户不想与您的应用互动。以下是一些您应使用 drive.file 范围的原因:
易用性:
drive.file范围适用于所有 Drive API REST 资源,这意味着您可以像使用更广泛的 OAuth 范围一样使用它。功能:Google Picker API 提供的界面与云端硬盘界面类似。这包括多个视图,用于显示云端硬盘文件的预览和缩略图,以及一个内嵌的模态窗口,以便用户无需离开主应用。
便利性:应用在使用 Google 选择器文件过滤器时,可以针对某些云端硬盘文件类型(例如 Google 文档、表格和照片)应用过滤器。
此外,由于 drive.file 不属于敏感信息,因此可以简化验证流程。
保存刷新令牌
将刷新令牌保存在安全的长期存储空间中,并在令牌保持有效期间继续使用。