Аутентификация и авторизация — это механизмы, используемые для подтверждения личности и доступа к ресурсам соответственно. В этом документе описывается, как работают аутентификация и авторизация для запросов REST API Google Meet.
В этом руководстве объясняется, как использовать OAuth 2.0 с учётными данными Google пользователя для доступа к REST API Meet . Аутентификация и авторизация с учётными данными пользователя позволяют приложениям Meet получать доступ к данным пользователя и выполнять операции от его имени. Выполняя аутентификацию от имени пользователя, приложение получает те же разрешения, что и этот пользователь, и может выполнять действия так, как если бы они были выполнены этим пользователем.
Важная терминология
Ниже приведен список терминов, связанных с аутентификацией и авторизацией:
- Аутентификация
Акт, гарантирующий, что принципал , который может быть пользователем
или приложение, действующее от имени пользователя, является тем, за кого себя выдаёт. При разработке приложений Google Workspace следует учитывать следующие типы аутентификации: аутентификация пользователя и аутентификация приложения. Для Meet REST API аутентификация возможна только с помощью аутентификации пользователя.
- Авторизация
Разрешения или «полномочия», которые имеет субъект для доступа
Данные или выполнение операций. Авторизация осуществляется с помощью кода, который вы пишете в своём приложении. Этот код информирует пользователя о том, что приложение желает действовать от его имени, и, если приложение разрешено, использует уникальные учётные данные вашего приложения для получения токена доступа от Google для доступа к данным или выполнения операций.
Знакомство с областями применения REST API
Области авторизации — это разрешения, которые вы запрашиваете у пользователей для доступа к контенту встречи. При установке вашего приложения пользователю предлагается подтвердить эти области. Как правило, следует выбирать максимально узкую область и избегать запроса областей, которые не требуются вашему приложению. Пользователи охотнее предоставляют доступ к ограниченным, четко описанным областям.
API Meet REST поддерживает следующие области OAuth 2.0:
| Код области действия | Описание | Использование |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.settings | Редактируйте и просматривайте настройки всех ваших вызовов Google Meet. | Нечувствительный |
https://www.googleapis.com/auth/meetings.space.created | Разрешите приложениям создавать, изменять и читать метаданные о конференц-залах, созданных вашим приложением. | Чувствительный |
https://www.googleapis.com/auth/meetings.space.readonly | Разрешить приложениям считывать метаданные о любом месте проведения встреч, к которому у пользователя есть доступ. | Чувствительный |
https://www.googleapis.com/auth/drive.readonly | Разрешить приложениям загружать файлы записей и расшифровок из API Google Drive. | Ограниченный |
Следующая область действия OAuth 2.0, смежная с Meet, находится в списке областей действия API Google Drive :
| Код области действия | Описание | Использование |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly | Просмотр файлов Диска, созданных или отредактированных Google Meet. | Ограниченный |
Столбец «Использование» в таблице указывает чувствительность каждой области в соответствии со следующими определениями:
Неконфиденциальные : эти области предоставляют минимальный объем авторизованного доступа и требуют только базовой проверки приложения. Подробнее см. в разделе Требования к проверке .
Конфиденциальные данные : эти области предоставляют доступ к определённым данным пользователя Google, которые он авторизовал для вашего приложения. Для этого требуется дополнительная проверка приложения. Подробнее см. в разделе «Требования к конфиденциальным и ограниченным областям данных» .
Ограниченный доступ : эти области предоставляют широкий доступ к данным пользователей Google и требуют прохождения процедуры проверки ограниченной области доступа. Подробнее см. в разделе «Политика в отношении пользовательских данных сервисов API Google» и «Дополнительные требования к конкретным областям доступа API» . Если вы храните (или передаете) данные ограниченной области доступа на серверах, вам необходимо пройти оценку безопасности.
Если вашему приложению требуется доступ к другим API Google, вы также можете добавить эти области действия. Подробнее об областях действия API Google см. в статье «Использование OAuth 2.0 для доступа к API Google» .
Чтобы определить, какая информация отображается пользователям и рецензентам приложения, см. раздел Настройка экрана согласия OAuth и выбор областей действия .
Дополнительную информацию о конкретных областях действия OAuth 2.0 см. в разделе Области действия OAuth 2.0 для API Google .
Аутентификация и авторизация с использованием делегирования на уровне всего домена
Если вы являетесь администратором домена, вы можете предоставить делегирование полномочий на уровне домена , чтобы разрешить учётной записи службы приложения доступ к данным ваших пользователей, не требуя согласия каждого пользователя. После настройки делегирования на уровне домена учётная запись службы может выдавать себя за учётную запись пользователя . Хотя учётная запись службы используется для аутентификации, делегирование на уровне домена выдаёт себя за пользователя и, следовательно, считается аутентификацией пользователя . Любая возможность, требующая аутентификации пользователя, может использовать делегирование на уровне домена.
Похожие темы
Обзор аутентификации и авторизации в Google Workspace см. в разделе «Подробнее об аутентификации и авторизации» .
Обзор аутентификации и авторизации в Google Cloud см. в разделе Методы аутентификации в Google .