Tài liệu này chứa thông tin về việc uỷ quyền và xác thực dành riêng cho API Google Drive. Trước khi đọc tài liệu này, hãy nhớ đọc thông tin chung về việc xác thực và uỷ quyền của Google Workspace tại bài viết Tìm hiểu về việc xác thực và uỷ quyền.
Định cấu hình OAuth 2.0 để uỷ quyền
Định cấu hình màn hình xin phép bằng OAuth và chọn phạm vi để xác định thông tin nào sẽ hiển thị cho người dùng và người đánh giá ứng dụng, đồng thời đăng ký ứng dụng để bạn có thể phát hành ứng dụng sau này.
Phạm vi API Drive
Để xác định cấp truy cập được cấp cho ứng dụng, bạn cần xác định và khai báo phạm vi uỷ quyền. Phạm vi uỷ quyền là một chuỗi URI OAuth 2.0 chứa tên ứng dụng Google Workspace, loại dữ liệu mà ứng dụng truy cập và cấp truy cập. Phạm vi là những yêu cầu mà ứng dụng của bạn yêu cầu để làm việc với dữ liệu trên Google Workspace, bao gồm cả dữ liệu trong Tài khoản Google của người dùng.
Khi cài đặt ứng dụng, người dùng sẽ được yêu cầu xác thực các phạm vi mà ứng dụng sử dụng. Nhìn chung, bạn nên chọn phạm vi tập trung hẹp nhất có thể và tránh yêu cầu các phạm vi mà ứng dụng không yêu cầu. Người dùng sẵn sàng cấp quyền truy cập vào các phạm vi bị giới hạn và được mô tả rõ ràng hơn.
Khi có thể, bạn nên sử dụng các phạm vi không nhạy cảm vì phạm vi này cấp phạm vi truy cập cho mỗi tệp và thu hẹp quyền truy cập vào các tính năng cụ thể mà ứng dụng cần.
API Drive hỗ trợ các phạm vi sau:
| Mã phạm vi | Mô tả | Cách sử dụng |
|---|---|---|
https://www.googleapis.com/auth/drive.appdata |
Xem và quản lý dữ liệu cấu hình riêng của ứng dụng trong Google Drive. | Nên dùng Không nhạy cảm |
https://www.googleapis.com/auth/drive.install |
Cho phép ứng dụng xuất hiện dưới dạng một tuỳ chọn trong trình đơn "Mở bằng" hoặc "Mới". | Nên dùng Không nhạy cảm |
https://www.googleapis.com/auth/drive.file |
Tạo tệp mới trên Drive hoặc sửa đổi các tệp hiện có mà bạn mở bằng ứng dụng hoặc người dùng chia sẻ với một ứng dụng trong khi sử dụng Google Builder API hoặc bộ chọn tệp của ứng dụng. | Nên dùng Không nhạy cảm |
https://www.googleapis.com/auth/drive.apps.readonly |
Xem những ứng dụng được phép truy cập vào Drive của bạn. | Nhạy cảm |
https://www.googleapis.com/auth/drive |
Xem và quản lý tất cả tệp trên Drive. | Bị hạn chế |
https://www.googleapis.com/auth/drive.readonly |
Xem và tải tất cả tệp của bạn trên Drive xuống. | Bị hạn chế |
https://www.googleapis.com/auth/drive.activity |
Xem và thêm vào hồ sơ hoạt động của các tệp trong Drive. | Bị hạn chế |
https://www.googleapis.com/auth/drive.activity.readonly |
Xem hồ sơ hoạt động của các tệp trong Drive. | Bị hạn chế |
https://www.googleapis.com/auth/drive.meet.readonly |
Xem các tệp trên Drive do Google Meet tạo hoặc chỉnh sửa. | Bị hạn chế |
https://www.googleapis.com/auth/drive.metadata |
Xem và quản lý siêu dữ liệu của các tệp trong Drive của bạn. | Bị hạn chế |
https://www.googleapis.com/auth/drive.metadata.readonly |
Xem siêu dữ liệu cho tệp trong Drive. | Bị hạn chế |
https://www.googleapis.com/auth/drive.scripts |
Sửa đổi hành vi của các tập lệnh Google Apps Script. | Bị hạn chế |
Cột Mức sử dụng trong bảng trên cho biết độ nhạy của từng phạm vi, theo các định nghĩa sau:
Nên dùng / Không nhạy cảm: Các phạm vi này cung cấp phạm vi truy cập uỷ quyền nhỏ nhất và chỉ yêu cầu xác minh ứng dụng cơ bản. Để biết thông tin về yêu cầu này, hãy xem phần Yêu cầu về việc xác minh.
Đề xuất / Nhạy cảm: Các phạm vi này cung cấp quyền truy cập vào Dữ liệu người dùng cụ thể trên Google mà người dùng đã cho phép ứng dụng của bạn truy cập. Bạn cần phải trải qua quy trình xác minh ứng dụng bổ sung. Để biết thông tin về yêu cầu này, hãy xem phần Yêu cầu về phạm vi nhạy cảm và bị hạn chế.
Bị hạn chế: Các phạm vi này cung cấp quyền truy cập rộng rãi vào Dữ liệu người dùng của Google và yêu cầu bạn phải trải qua quy trình xác minh phạm vi bị hạn chế. Để biết thông tin về yêu cầu này, hãy xem Chính sách dữ liệu người dùng của Dịch vụ API của Google và Các yêu cầu bổ sung cho phạm vi API cụ thể. Nếu lưu trữ dữ liệu thuộc phạm vi bị hạn chế trên máy chủ (hoặc truyền dữ liệu), thì bạn phải thực hiện quy trình đánh giá bảo mật.
Nếu ứng dụng của bạn yêu cầu quyền truy cập vào bất kỳ API nào khác của Google, bạn cũng có thể thêm các phạm vi đó. Để biết thêm thông tin về phạm vi API của Google, hãy xem bài viết Sử dụng OAuth 2.0 để truy cập vào API của Google.
Để biết thêm thông tin về các phạm vi OAuth 2.0 cụ thể, hãy xem bài viết Phạm vi OAuth 2.0 cho API của Google.
Xác minh OAuth
Để sử dụng một số phạm vi OAuth nhất định, ứng dụng của bạn có thể phải trải qua Trung tâm trợ giúp xác minh ứng dụng OAuth. Hãy đọc Câu hỏi thường gặp về ứng dụng OAuth để xác định thời điểm ứng dụng của bạn cần được xác minh và loại hình xác minh cần thiết. Xem thêm Điều khoản dịch vụ của Google Drive.
Trường hợp nên sử dụng phạm vi bị hạn chế
Đối với Drive, chỉ các loại ứng dụng sau mới có thể truy cập vào phạm vi bị hạn chế:
- Ứng dụng web và ứng dụng dành riêng cho nền tảng cung cấp tính năng đồng bộ hoá cục bộ hoặc sao lưu tự động các tệp của người dùng trên Drive.
- Ứng dụng giáo dục và ứng dụng nâng cao năng suất có giao diện người dùng có thể liên quan đến việc tương tác với các tệp trên Drive (hoặc siêu dữ liệu hoặc quyền của các tệp đó). Các ứng dụng cải thiện hiệu suất bao gồm ứng dụng quản lý công việc, ghi chú, giao tiếp trong nhóm làm việc và ứng dụng cộng tác trong lớp học.
- Các ứng dụng báo cáo và bảo mật cung cấp thông tin chi tiết cho người dùng hoặc khách hàng về cách chia sẻ hoặc truy cập vào tệp.
Để tiếp tục sử dụng các phạm vi bị hạn chế, bạn nên chuẩn bị ứng dụng để xác minh phạm vi bị hạn chế.
Di chuyển một ứng dụng hiện có từ các phạm vi bị hạn chế
Nếu đã phát triển một ứng dụng Drive bằng cách sử dụng bất kỳ phạm vi bị hạn chế nào, bạn nên di chuyển ứng dụng của mình sang phạm vi không nhạy cảm vì phạm vi này cấp phạm vi truy cập theo từng tệp và thu hẹp quyền truy cập vào các tính năng cụ thể mà ứng dụng cần. Nhiều ứng dụng hoạt động với quyền truy cập theo tệp mà không có bất kỳ thay đổi nào. Nếu đang sử dụng công cụ chọn tệp của riêng mình, bạn nên chuyển sang API Công cụ chọn của Google. API này hỗ trợ đầy đủ nhiều phạm vi.
Lợi ích của phạm vi OAuth drive.file
Việc sử dụng phạm vi OAuth drive.file và API Bộ chọn của Google sẽ tối ưu hoá cả trải nghiệm người dùng và sự an toàn cho ứng dụng của bạn.
Phạm vi OAuth drive.file cho phép người dùng chọn những tệp mà họ muốn chia sẻ với ứng dụng của bạn. Điều này giúp họ có nhiều quyền kiểm soát hơn và yên tâm rằng quyền truy cập của ứng dụng vào tệp của họ bị hạn chế và an toàn hơn. Ngược lại, việc yêu cầu quyền truy cập rộng vào tất cả tệp trên Drive có thể khiến người dùng không muốn tương tác với ứng dụng của bạn. Sau đây là một số lý do bạn nên sử dụng phạm vi drive.file:
Mức độ hữu dụng: Phạm vi
drive.filehoạt động với tất cả Tài nguyên REST của API Drive, nghĩa là bạn có thể sử dụng phạm vi này giống như cách bạn sử dụng các phạm vi OAuth rộng hơn.Tính năng: API Bộ chọn của Google cung cấp giao diện tương tự như giao diện người dùng của Drive. Thành phần này bao gồm một số thành phần hiển thị bản xem trước và hình thu nhỏ của các tệp trên Drive, cũng như một cửa sổ cùng dòng, có thể chuyển đổi để người dùng không bao giờ rời khỏi ứng dụng chính.
Tiện lợi: Các ứng dụng có thể áp dụng bộ lọc cho một số loại tệp trên Drive (chẳng hạn như Google Tài liệu, Trang tính và ảnh) khi sử dụng bộ lọc trên các tệp của Google Picker.
Ngoài ra, vì drive.file không nhạy cảm nên quá trình xác minh sẽ đơn giản hơn.
Lưu mã thông báo làm mới
Lưu mã làm mới vào bộ nhớ an toàn, dài hạn và tiếp tục sử dụng các mã đó miễn là mã này vẫn hợp lệ.