Xác thực và uỷ quyền là các cơ chế được dùng để xác minh danh tính và quyền truy cập vào tài nguyên, tương ứng. Tài liệu này trình bày cách hoạt động của quy trình xác thực và uỷ quyền cho các yêu cầu API REST của Google Meet.
Hướng dẫn này giải thích cách sử dụng OAuth 2.0 với thông tin đăng nhập của người dùng trên Google để truy cập vào Meet REST API. Việc xác thực và uỷ quyền bằng thông tin đăng nhập của người dùng cho phép các ứng dụng Meet truy cập vào dữ liệu người dùng và thực hiện các thao tác thay cho người dùng đã xác thực. Bằng cách xác thực thay cho người dùng, ứng dụng có các quyền tương tự như người dùng đó và có thể thực hiện các hành động như thể do người dùng đó thực hiện.
Thuật ngữ quan trọng
Sau đây là danh sách các thuật ngữ liên quan đến việc xác thực và uỷ quyền:
- Xác thực
Hành động đảm bảo rằng một chủ thể (có thể là người dùng)
hoặc một ứng dụng thay mặt cho người dùng, là người mà họ nói. Khi viết các ứng dụng Google Workspace, bạn cần lưu ý đến những loại xác thực sau: xác thực người dùng và xác thực ứng dụng. Đối với Meet REST API, bạn chỉ có thể xác thực bằng cách xác thực người dùng.
- Uỷ quyền
Các quyền hoặc "quyền hạn" mà người dùng chính có để truy cập
dữ liệu hoặc thực hiện các thao tác. Quy trình uỷ quyền được thực hiện thông qua mã mà bạn viết trong ứng dụng. Mã này thông báo cho người dùng rằng ứng dụng muốn thay mặt họ hành động và nếu được phép, ứng dụng sẽ sử dụng thông tin đăng nhập duy nhất của bạn để lấy mã truy cập từ Google nhằm truy cập vào dữ liệu hoặc thực hiện các thao tác.
Đáp ứng các phạm vi API REST
Phạm vi uỷ quyền là những quyền mà bạn yêu cầu người dùng uỷ quyền để ứng dụng của bạn có thể truy cập vào nội dung cuộc họp. Khi có người cài đặt ứng dụng của bạn, người dùng sẽ được yêu cầu xác thực các phạm vi này. Nhìn chung, bạn nên chọn phạm vi tập trung hẹp nhất có thể và tránh yêu cầu những phạm vi mà ứng dụng của bạn không cần. Người dùng sẵn sàng cấp quyền truy cập vào các phạm vi hạn chế và được mô tả rõ ràng.
Meet REST API hỗ trợ các phạm vi OAuth 2.0 sau đây:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.settings |
Chỉnh sửa và xem các chế độ cài đặt cho tất cả cuộc gọi qua Google Meet. | Không nhạy cảm |
https://www.googleapis.com/auth/meetings.space.created |
Cho phép ứng dụng tạo, sửa đổi và đọc siêu dữ liệu về không gian họp do ứng dụng của bạn tạo. | Nhạy cảm |
https://www.googleapis.com/auth/meetings.space.readonly |
Cho phép ứng dụng đọc siêu dữ liệu về mọi không gian họp mà người dùng có quyền truy cập. | Nhạy cảm |
https://www.googleapis.com/auth/drive.readonly |
Cho phép các ứng dụng tải tệp bản ghi và bản chép lời xuống từ Google Drive API. | Bị hạn chế |
Phạm vi OAuth 2.0 sau đây liên quan đến Meet nằm trong danh sách phạm vi của API Google Drive:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
Xem các tệp trên Drive do Google Meet tạo hoặc chỉnh sửa. | Bị hạn chế |
Cột Mức sử dụng trong bảng cho biết mức độ nhạy cảm của từng phạm vi, theo các định nghĩa sau:
Không nhạy cảm: Các phạm vi này cung cấp phạm vi nhỏ nhất về quyền truy cập uỷ quyền và chỉ yêu cầu xác minh ứng dụng cơ bản. Để tìm hiểu thêm, hãy xem Các yêu cầu đối với việc xác minh.
Nhạy cảm: Các phạm vi này cung cấp quyền truy cập vào dữ liệu cụ thể của người dùng Google mà người dùng cho phép ứng dụng của bạn truy cập. Bạn cần phải trải qua quy trình xác minh ứng dụng bổ sung. Để tìm hiểu thêm, hãy xem Yêu cầu về phạm vi nhạy cảm và bị hạn chế.
Bị hạn chế: Các phạm vi này cung cấp quyền truy cập rộng rãi vào dữ liệu người dùng trên Google và yêu cầu bạn phải trải qua quy trình xác minh phạm vi bị hạn chế. Để tìm hiểu thêm, hãy xem Chính sách dữ liệu người dùng của các dịch vụ API của Google và Các yêu cầu bổ sung đối với các phạm vi API cụ thể. Nếu lưu trữ dữ liệu thuộc phạm vi bị hạn chế trên máy chủ (hoặc truyền dữ liệu), thì bạn phải trải qua quy trình đánh giá bảo mật.
Nếu ứng dụng của bạn cần có quyền truy cập vào bất kỳ API nào khác của Google, bạn cũng có thể thêm các phạm vi đó. Để biết thêm thông tin về các phạm vi API của Google, hãy xem bài viết Sử dụng OAuth 2.0 để truy cập vào các API của Google.
Để xác định thông tin hiển thị cho người dùng và người đánh giá ứng dụng, hãy xem phần Định cấu hình màn hình đồng ý OAuth và chọn phạm vi.
Để biết thêm thông tin về các phạm vi OAuth 2.0 cụ thể, hãy xem Phạm vi OAuth 2.0 cho các API của Google.
Xác thực và uỷ quyền bằng tính năng uỷ quyền trên toàn miền
Nếu là quản trị viên miền, bạn có thể cấp quyền uỷ quyền trên toàn miền để cho phép tài khoản dịch vụ của một ứng dụng truy cập vào dữ liệu của người dùng mà không yêu cầu từng người dùng phải đồng ý. Sau khi bạn định cấu hình uỷ quyền trên toàn miền, tài khoản dịch vụ có thể mạo danh tài khoản người dùng. Mặc dù tài khoản dịch vụ được dùng để xác thực, nhưng tính năng uỷ quyền trên toàn miền sẽ mạo danh một người dùng và do đó được coi là xác thực người dùng. Mọi chức năng yêu cầu xác thực người dùng đều có thể sử dụng tính năng uỷ quyền trên toàn miền.
Chủ đề có liên quan
Để biết thông tin tổng quan về quy trình xác thực và uỷ quyền trong Google Workspace, hãy xem bài viết Tìm hiểu về quy trình xác thực và uỷ quyền.
Để biết thông tin tổng quan về quy trình xác thực và uỷ quyền trong Google Cloud, hãy xem Các phương thức xác thực tại Google.