Ủy quyền

Các lệnh gọi API đến API khách hàng đăng ký không tiếp xúc cần được uỷ quyền. Việc yêu cầu uỷ quyền sẽ bảo vệ dữ liệu của tổ chức bạn. Để uỷ quyền các lệnh gọi đến API đăng ký không tiếp xúc, bạn cần hoàn thành các nhiệm vụ sau:

1. Tạo tài khoản dịch vụ để gọi các API.
2. Lưu trữ tệp khoá JSON để cho phép các lệnh gọi API.
3. Bật API để cung cấp API cho dịch vụ tài khoản.
4. Liên kết tài khoản dịch vụ để thực hiện lệnh gọi API thay mặt cho tổ chức.

Hãy làm theo hướng dẫn dưới đây để hoàn thành những việc cần làm.

Bước 1: tạo tài khoản dịch vụ

Tài khoản dịch vụ (đôi khi được gọi là tài khoản robot) là một Tài khoản Google thể hiện ứng dụng thay vì người dùng. Ứng dụng của bạn thay mặt tài khoản dịch vụ gọi API, vì vậy, người dùng không trực tiếp tham gia. Vì ứng dụng của bạn đang sử dụng API của Google, nên hãy sử dụng Google API Console để thiết lập quyền truy cập.

Tạo dự án Bảng điều khiển API

Bạn nên tạo một dự án và dịch vụ mới trên Bảng điều khiển API cho ứng dụng của bạn. Nhờ vậy mà bạn có thể quản lý quyền truy cập, quản lý tài nguyên và khắc phục chìa khoá bị mất dễ dàng hơn trong tương lai. Bắt đầu bằng cách làm theo các bước dưới đây để tạo dự án mới trong Google API Console:

1. Chuyển đến API Console.
2. Trong danh sách dự án, hãy chọn Tạo một dự án.
3. Nhập tên mô tả ứng dụng của bạn và quy trình thiết lập tự động.
4. Chỉ định mã dự án hoặc chấp nhận mã mặc định.
5. Nhấp vào Tạo.

Để tìm hiểu thêm, hãy đọc tài liệu của Google Cloud Platform về cách Quản lý dự án trong bảng điều khiển.

Thêm thông tin xác thực dịch vụ mới

Để thêm thông tin đăng nhập mới và tài khoản dịch vụ vào dự án, hãy làm theo các bước bên dưới trong Bảng điều khiển API của bạn.

1. Mở trang Tài khoản dịch vụ. Nếu thấy lời nhắc, hãy chọn một dự án.
2. Nhấp vào add Tạo tài khoản dịch vụ rồi nhập tên và phần mô tả cho tài khoản dịch vụ. Bạn có thể sử dụng mã tài khoản dịch vụ mặc định hoặc chọn một mã riêng biệt khác. Khi hoàn tất, hãy nhấp vào Tạo.
3. Bạn không bắt buộc phải làm gì trong phần Quyền tài khoản dịch vụ (tuỳ chọn) sau đó. Hãy nhấp vào Tiếp tục.
4. Trên màn hình Cấp cho người dùng quyền truy cập vào tài khoản dịch vụ này, hãy cuộn xuống phần Tạo khoá. Nhấp vào addTạo khoá.
5. Khi bảng điều khiển bên xuất hiện, hãy chọn định dạng cho khoá của bạn ở trên đó: bạn nên chọn JSON.
6. Nhấp vào Tạo. Cặp khoá công khai/riêng tư mới của bạn sẽ được tạo và tải xuống máy của bạn; đây là bản sao duy nhất của khoá này. Để biết thông tin về cách lưu trữ khoá an toàn, hãy xem Quản lý khoá tài khoản dịch vụ.
7. Nhấp vào Đóng trên hộp thoại Khoá riêng tư đã lưu vào máy tính của bạn, sau đó nhấp vào Xong để trở về bảng tài khoản dịch vụ.

Sao chép địa chỉ email của tài khoản dịch vụ và lưu lại. Bạn cần khi bạn liên kết tài khoản dịch vụ với tổ chức của mình.

Bước 2: lưu trữ tệp khoá JSON

Bảng điều khiển API sẽ tạo một cặp khoá riêng tư mới dùng để xác thực Lệnh gọi API được thực hiện bằng tài khoản dịch vụ của bạn. Khoá riêng tư nằm trong khoá JSON tệp bạn tải xuống.

Bạn nên giữ khoá ở chế độ riêng tư, vì vậy, đừng đưa khoá vào mã nguồn của ứng dụng. Nếu làm mất tệp khoá, bạn cần tạo một cặp khoá mới.

Bước 3: bật API

Bạn cần bật API trước khi ứng dụng có thể sử dụng API đó. Bật API liên kết nó với dự án Bảng điều khiển API hiện tại và thêm các trang giám sát trong bảng điều khiển của bạn.

Để bật API, hãy làm theo các bước dưới đây trong API Console:

1. Nhấp vào API & Dịch vụ > Thư viện.
2. Sử dụng trường tìm kiếm để tìm Đối tác cấp phép thiết bị Android API.
3. Nhấp vào Android Device Provisioning Partner API (API Đối tác cấp phép thiết bị Android).
4. Nhấp vào Bật.

Sau một khoảng thời gian ngắn, trạng thái API sẽ chuyển sang đã bật. Nếu bạn không thấy API Đối tác cấp phép thiết bị Android, hãy kiểm tra để đảm bảo tổ chức của bạn đã được tích hợp thiết lập tự động. Đảm bảo bạn đang sử dụng cùng một Tài khoản Google cho thiết lập tự động và Google API Console.

Bước 4: liên kết tài khoản dịch vụ

Liên kết tài khoản dịch vụ với quy trình thiết lập tự động của tổ chức uỷ quyền cho tài khoản dịch vụ thực hiện lệnh gọi API thay mặt cho tổ chức. Điền vào biểu mẫu yêu cầu liên kết để liên kết tài khoản dịch vụ của bạn.

Nếu bạn không tìm thấy địa chỉ email của tài khoản dịch vụ mà mình đã tạo, hãy sao chép địa chỉ đó từ một trong những nơi sau:

• Email của tài khoản dịch vụ trên trang Tài khoản dịch vụ trong Google API Console.
• Trường thuộc tính client_email trong tệp khoá JSON.

Sau khi bạn nhận được email xác nhận rằng tài khoản của bạn đã được liên kết, tài khoản dịch vụ của bạn có thể thay mặt tổ chức của bạn thực hiện lệnh gọi đến API khách hàng.

Dùng thử API

Kiểm tra để đảm bảo quyền truy cập API của bạn đang hoạt động bằng cách làm theo các bước trong một trong các hướng dẫn nhanh về Java, .NET và Python.

Phạm vi uỷ quyền

Sử dụng phạm vi uỷ quyền API https://www.googleapis.com/auth/androidworkzerotouchemm trong ứng dụng để yêu cầu mã truy cập OAuth 2.0.

Tham số phạm vi kiểm soát tập hợp tài nguyên và thao tác mà mã thông báo truy cập cho phép gọi. Mã thông báo truy cập chỉ hợp lệ đối với tập hợp thao tác và các tài nguyên được mô tả trong phạm vi yêu cầu mã thông báo. API này bao gồm tất cả các phương thức và tài nguyên có phạm vi đăng ký không cần chạm duy nhất như minh hoạ ở trên.

Để tìm hiểu thêm về cách sử dụng phạm vi API của Google, hãy đọc bài viết Sử dụng OAuth 2.0 để truy cập vào API của Google.