Google Drive API-Bereiche auswählen

Dieses Dokument enthält Google Drive API-spezifische Autorisierungs- und Authentifizierungsinformationen. Bevor Sie dieses Dokument lesen, sollten Sie sich die allgemeinen Informationen zur Authentifizierung und Autorisierung in Google Workspace unter Authentifizierung und Autorisierung ansehen.

OAuth 2.0 für die Autorisierung konfigurieren

Um Ihre App zu autorisieren, müssen Sie für die Google Drive API OAuth-Bereiche an zwei Stellen definieren: in der Google Cloud Console und in Ihrer App.

In der Google Cloud Console müssen Sie die Berechtigungsbereiche, die Ihre App benötigt, in der Konfiguration des OAuth-Zustimmungsbildschirms deklarieren. Dies sind die höchsten Berechtigungen, die Ihre App jemals anfordern kann. Dies dient als formelle Anfrage an Google. Die deklarierten Bereiche werden den Nutzern auf dem Zustimmungsbildschirm angezeigt. So kann der Nutzer genau nachvollziehen, auf welche Daten und Aktionen Ihre App Zugriff anfordert.

OAuth-Zustimmungsbildschirm konfigurieren und Bereiche auswählen: Legen Sie fest, welche Informationen Nutzern und App-Prüfern angezeigt werden, und registrieren Sie Ihre App, damit Sie sie später veröffentlichen können.

Wenn Sie die API in Ihrer App initialisieren, müssen Sie explizit die spezifischen Bereiche anfordern, die Sie für diese Sitzung benötigen. In der Google Cloud Console werden die Berechtigungen auf höchster Ebene definiert, die Ihre App anfordern darf. Der Code bestimmt die tatsächlichen Berechtigungen für einen bestimmten Nutzer. So wird sichergestellt, dass die App nur die Berechtigungen anfordert, die für eine bestimmte Aufgabe erforderlich sind.

Sie können einen oder mehrere OAuth-Bereiche gleichzeitig im Code Ihrer App als Array deklarieren.

Das folgende Codebeispiel zeigt, wie Sie mehrere OAuth-Bereiche deklarieren:

Java

List<String> SCOPES = Arrays.asList(
  DriveScopes.DRIVE_FILE,
  DriveScopes.DRIVE_METADATA_READONLY
);

Python

SCOPES = [
  "https://www.googleapis.com/auth/drive.file",
  "https://www.googleapis.com/auth/drive.metadata.readonly",
]

Node.js

const SCOPES = [
  'https://www.googleapis.com/auth/drive.file',
  'https://www.googleapis.com/auth/drive.metadata.readonly'
];

Ein vollständiges Codebeispiel, in dem die Deklaration und Verwendung von Bereichen gezeigt wird, finden Sie unter Kurzanleitungen.

Drive API-Bereiche

Um den Zugriff zu definieren, der Ihrer App gewährt wird, müssen Sie Autorisierungsbereiche identifizieren und deklarieren. Ein Autorisierungsbereich ist ein OAuth 2.0-URI-String, der den Namen der Google Workspace-App, die Art der Daten, auf die sie zugreift, und die Zugriffsebene enthält. Bereiche sind die Anfragen Ihrer App, mit Google Workspace-Daten zu arbeiten, einschließlich der Google-Kontodaten von Nutzern.

Wenn Ihre App installiert wird, werden Nutzer aufgefordert, die von der App verwendeten Bereiche zu bestätigen. Im Allgemeinen sollten Sie den engstmöglichen Bereich auswählen und keine Bereiche anfordern, die Ihre App nicht benötigt. Nutzer gewähren eher Zugriff auf eingeschränkte, klar beschriebene Bereiche.

Verwenden Sie nach Möglichkeit nicht vertrauliche Bereiche, da sie den Zugriff pro Datei ermöglichen und den Zugriff auf bestimmte Funktionen einschränken, die von einer App benötigt werden.

Nicht vertrauliche Bereiche

Die folgenden Drive API-Bereiche werden für die meisten Anwendungsfälle empfohlen:

Umfangscode Beschreibung
https://www.googleapis.com/auth/drive.appdata
https://www.googleapis.com/auth/drive.appfolder		 Die Konfigurationsdaten der App in Ihrem Google Drive ansehen und verwalten.
https://www.googleapis.com/auth/drive.install Apps als Option im Menü „Öffnen mit“ oder „Neu“ anzeigen lassen.
https://www.googleapis.com/auth/drive.file Neue Drive-Dateien erstellen oder vorhandene Dateien ändern, die Sie mit einer App öffnen oder die der Nutzer während der Verwendung der Google Picker API oder der Dateiauswahl der App für eine App freigibt.

Sensible Bereiche

Umfangscode Beschreibung
https://www.googleapis.com/auth/drive.apps.readonly Apps ansehen, die auf Ihr Drive zugreifen dürfen

Eingeschränkte Bereiche

Umfangscode Beschreibung
https://www.googleapis.com/auth/drive Alle Ihre Drive-Dateien ansehen und verwalten.
https://www.googleapis.com/auth/drive.readonly Alle Ihre Drive-Dateien ansehen und herunterladen
https://www.googleapis.com/auth/drive.activity Den Aktivitätsverlauf von Dateien in Google Drive abrufen und ergänzen.
https://www.googleapis.com/auth/drive.activity.readonly Den Aktivitätsverlauf von Dateien in Google Drive abrufen
https://www.googleapis.com/auth/drive.meet.readonly In Google Meet erstellte oder bearbeitete Google Drive-Dateien ansehen.
https://www.googleapis.com/auth/drive.metadata Metadaten von Dateien in Drive abrufen und verwalten
https://www.googleapis.com/auth/drive.metadata.readonly Metadaten für Dateien in Drive ansehen.
https://www.googleapis.com/auth/drive.scripts Das Verhalten der Google Apps Script-Skripte ändern

Die Bereiche in den vorherigen Tabellen geben ihre Sensibilität gemäß den folgenden Definitionen an:

Wenn Ihre App Zugriff auf andere Google-APIs benötigt, können Sie diese Bereiche ebenfalls hinzufügen. Weitere Informationen zu Google API-Bereichen finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Weitere Informationen zu bestimmten OAuth 2.0-Bereichen finden Sie unter OAuth 2.0-Bereiche für Google APIs.

Voraussetzungen für eingeschränkte Bereiche

Nur bestimmte Anwendungstypen dürfen eingeschränkte Bereiche für Google Drive verwenden. Damit Ihre App infrage kommt, muss sie in eine der folgenden Kategorien fallen:

  1. Back-up & Sync: Plattformspezifische und Web-Apps, die eine lokale Synchronisierung oder ein automatisches Back-up der Drive-Dateien von Nutzern ermöglichen.

  2. Produktivität und Bildung: Apps mit einer primären Benutzeroberfläche, die möglicherweise die Interaktion mit Drive-Dateien, ‑Metadaten oder ‑Berechtigungen umfasst. Dazu gehören Apps für die Aufgabenverwaltung, Notizen, die Kommunikation in Arbeitsgruppen und die Zusammenarbeit im Unterricht.

  3. Berichterstellung und Sicherheit: Apps, die Nutzern oder Kunden Einblicke in die Freigabe oder den Zugriff auf Dateien geben.

Wenn Sie weiterhin eingeschränkte Bereiche verwenden möchten, sollten Sie Ihre App für die Überprüfung eingeschränkter Bereiche vorbereiten.

Vorhandene App mit eingeschränkten Bereichen migrieren

Wenn Ihre Drive-App eingeschränkte Bereiche verwendet, empfehlen wir, zu einem nicht vertraulichen Drive API-Bereich zu migrieren. Wenn Sie nicht vertrauliche Bereiche wie drive.file verwenden, wird pro Datei und eingeschränkter Zugriff auf bestimmte Funktionen gewährt, die für eine App erforderlich sind.

Viele Apps können ohne Änderungen auf den Zugriff pro Datei umgestellt werden.

Wenn Sie eine eigene Dateiauswahl verwenden, empfehlen wir, zur Google Picker API zu wechseln, die verschiedene Zugriffsbereiche vollständig unterstützt.

Vorteile des Drive-Dateibereichs

Die Verwendung des drive.file-OAuth-Bereichs in Kombination mit der Google Picker API optimiert sowohl die Nutzerfreundlichkeit als auch die Sicherheit Ihrer App.

Mit dem drive.file-OAuth-Bereich können Nutzer auswählen, welche Dateien sie für Ihre App freigeben möchten. So haben sie mehr Kontrolle und können sich darauf verlassen, dass der Zugriff Ihrer App auf ihre Dateien begrenzt und sicherer ist. Wenn Sie hingegen einen umfassenden Zugriff auf alle Drive-Dateien benötigen, kann dies Nutzer davon abhalten, Ihre App zu verwenden.

Hier sind einige Gründe, warum Sie den Bereich drive.file verwenden sollten:

  • Nutzerfreundlichkeit: Der Bereich drive.file funktioniert mit allen Drive API-REST-Ressourcen. Sie können ihn also genauso verwenden wie umfassendere OAuth-Bereiche.

  • Funktionen: Die Google Picker API bietet eine ähnliche Benutzeroberfläche wie die Drive-Benutzeroberfläche. Dazu gehören mehrere Ansichten mit Vorschauen und Thumbnails von Drive-Dateien sowie ein Inline-Modal-Fenster, damit Nutzer die Haupt-App nicht verlassen müssen.

  • Komfort: Apps können Filter für bestimmte Drive-Dateitypen (z. B. Google-Dokumente, Tabellen und Fotos) anwenden, wenn sie einen Filter für Google Picker-Dateien verwenden.

  • Einfache Überprüfung: Da drive.file nicht vertraulich ist, ist ein einfacherer Überprüfungsprozess möglich.

Aktualisierungstokens sicher speichern

Wenn Ihre App mit der Drive API auf private Daten zugreifen soll, muss sie ein Zugriffstoken abrufen, das den Zugriff auf diese API gewährt. Ein einzelnes Zugriffstoken kann unterschiedliche Zugriffsebenen für mehrere APIs gewähren, die durch die von Ihnen angeforderten Bereiche bestimmt werden.

Da Zugriffstokens nur kurzlebig sind, müssen Sie Aktualisierungstokens für den langfristigen Zugriff auf die Drive API verwenden. Mit einem Aktualisierungstoken kann Ihre App neue Zugriffstokens anfordern.

Speichern Sie Aktualisierungstokens sicher und langfristig und verwenden Sie sie so lange, wie sie gültig sind.

Weitere Informationen finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.