创建访问凭据

凭据用于从 Google 的授权服务器获取访问令牌，以便您的应用可以调用 Google Workspace API。本指南介绍如何选择和设置应用所需的凭据。

如需了解本页上术语的定义，请参阅 身份验证和授权概览。

选择适合您的访问凭据

所需的凭据取决于应用的数据类型、平台和访问方法。有三种类型的凭据可用：

使用场景	身份验证方法	关于此身份验证方法
在应用中匿名访问公开提供的数据。	API 密钥	在使用此身份验证方法之前，请确定您要使用的 API 支持 API 密钥。
访问用户数据，例如用户的电子邮件地址或年龄。	OAuth 客户端 ID	要求应用向用户进行请求并获得用户同意。
访问属于您自己的应用的数据，或通过全网域授权代表 Google Workspace 或 Cloud Identity 用户访问资源。	服务账号	当应用是使用服务账号证明其身份时，它可以访问该服务账号有权访问的所有 资源。

API 密钥凭据

API 密钥是一个包含大写字母、小写字母、数字、下划线和连字符的长字符串，例如 AIzaSyDaGmWKa4JsXZ-HjGw7ISLn_3namBGewQe。 此身份验证方法用于匿名访问公开提供的数据，例如使用“互联网上的任何人都可以通过此链接”共享设置共享的 Google Workspace 文件。如需了解详情，请参阅 使用 API 密钥。

如需创建 API 密钥，请执行以下操作：

1. 在 Google Cloud 控制台中，依次前往“菜单”图标 menu > API 和服务 > 凭据。

   进入“凭据”页面

2. 点击创建凭据 > API 密钥。
3. 系统会显示新的 API 密钥。
   • 点击“复制”图标 content_copy 即可复制 API 密钥，以便在应用的代码中使用 。您还可以在项目的凭据的"API 密钥"部分中找到 API 密钥。
   • 为防止未经授权的使用，我们建议您限制 API 密钥 可用于哪些位置和 API。如需了解详情，请参阅 添加 API 限制。

OAuth 客户端 ID 凭据

如需对最终用户进行身份验证并访问应用中的用户数据，您需要创建一个或多个 OAuth 2.0 客户端 ID。客户端 ID 用于向 Google 的 OAuth 服务器标识单个应用。如果您的应用在多个平台上运行，则必须为每个平台创建一个单独的客户端 ID。

选择您的 应用类型 ，以获取有关如何创建 OAuth 客户端 ID 的具体说明：

Web 应用

1. 在 Google API 控制台中，依次前往“菜单”图标 menu > Google 身份验证平台 > 客户端。

   前往“客户端”页面

2. 点击创建客户端 。
3. 依次点击应用类型 > Web 应用。
4. 在名称 字段中，输入凭据的名称。此名称仅在 Google API 控制台中显示。
5. 添加与您的应用相关的已获授权的 URI：
   • 客户端应用 (JavaScript) \- 在已获授权的 JavaScript 来源 下，点击添加 URI 。然后，输入要用于浏览器请求的 URI。这会标识您的应用可以向 OAuth 2.0 服务器发送 API 请求的网域。
   • 服务器端应用（Java、Python 等） \- 在已获授权的重定向 URI 下，点击添加 URI 。然后，输入 OAuth 2.0 服务器可以向其发送响应的端点 URI。
6. 点击创建 。

   新创建的凭据会显示在 OAuth 2.0 客户端 ID 下。

   请注意，客户端密钥不适用于 Web 应用。

Android

1. 在 Google API 控制台中，依次前往“菜单”图标 menu > Google 身份验证平台 > 客户端。

   前往“客户端”页面

2. 点击创建客户端 。
3. 依次点击应用类型 > Android。
4. 在“名称”字段中，输入凭据的名称。此名称仅在 Google API 控制台中显示。
5. 在“软件包名称”字段中，输入 AndroidManifest.xml 文件中的软件包名称。
6. 在“SHA-1 证书指纹”字段中，输入您的 生成的 SHA-1 证书指纹。
7. 点击创建 。

   新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

iOS

1. 在 Google API 控制台中，依次前往“菜单”图标 menu > Google 身份验证平台 > 客户端。

   前往“客户端”页面

2. 点击创建客户端 。
3. 依次点击应用类型 > iOS。
4. 在“名称”字段中，输入凭据的名称。此名称仅在 Google API 控制台中显示。
5. 在“软件包 ID”字段中，输入应用的 Info.plist 文件中列出的软件包标识符。
6. 可选：如果您的应用显示在 Apple App Store 中，请输入 App Store ID。
7. 可选：在“团队 ID”字段中，输入由 Apple 生成并分配给您的团队的唯一字符串，该字符串包含 10 个字符。
8. 点击创建 。

   新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

Chrome 扩展程序

1. 在 Google API 控制台中，依次前往“菜单”图标 menu > Google 身份验证平台 > 客户端。

   前往“客户端”页面

2. 点击创建客户端 。
3. 依次点击应用类型 > Chrome 扩展程序。
4. 在“名称”字段中，输入凭据的名称。此名称仅在 Google API 控制台中显示。
5. 在“商品 ID”字段中，输入应用的唯一 32 字符 ID 字符串。您可以在应用的 Chrome 应用商店网址和 Chrome 应用商店开发者信息中心内找到此 ID 值。
6. 点击创建 。

   新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

桌面应用

1. 在 Google API 控制台中，依次前往“菜单”图标 menu > Google 身份验证平台 > 客户端。

   前往“客户端”页面

2. 点击创建客户端 。
3. 依次点击应用类型 > 桌面应用。
4. 在名称 字段中，输入凭据的名称。此名称仅在 Google API 控制台中显示。
5. 点击创建 。

   新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

电视和受限输入设备

1. 在 Google API 控制台中，依次前往“菜单”图标 menu > Google 身份验证平台 > 客户端。

   前往“客户端”页面

2. 点击创建客户端 。
3. 依次点击应用类型 > 电视和受限输入设备。
4. 在“名称”字段中，输入凭据的名称。此名称仅在 Google API 控制台中显示。
5. 点击创建 。

   新创建的凭据会显示在“OAuth 2.0 客户端 ID”下。

服务账号凭据

服务账号是一种由应用（而非个人）使用的特殊账号。您可以使用服务账号通过机器人账号访问数据或执行操作，也可以代表 Google Workspace 或 Cloud Identity 用户访问数据。如需了解详情，请参阅 了解服务账号。

创建服务账号

Google API 控制台

1. 在 Google API 控制台中，依次前往“菜单”图标 menu > IAM 和管理 > 服务账号。

   转到“服务账号”

2. 点击创建服务账号 。
3. 填写服务账号详细信息，然后点击创建并继续 。
4. 可选：向您的服务账号分配角色，以授予对 Google Cloud 项目资源的访问权限。如需了解详情，请参阅授予、更改和撤消对资源的访问权限。
5. 点击继续 。
6. 可选：输入可以使用此服务账号进行管理和执行操作的用户或群组。如需了解详情，请参阅管理服务账号模拟。
7. 点击完成 。记下服务账号的电子邮件地址。

gcloud CLI

1. 创建服务账号：

   gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
     --display-name="SERVICE_ACCOUNT_NAME"

2. 可选：向您的服务账号分配角色，以授予对 Google Cloud 项目资源的访问权限。如需了解详情，请参阅授予、更改和撤消对资源的访问权限。

为服务账号分配角色

您必须通过超级管理员账号为服务账号分配预先创建的角色或自定义角色。

1. 在 Google 管理控制台中，依次前往“菜单”图标 menu> 账号 > 管理员角色。

   前往“管理员角色”页面

2. 将光标指向要分配的角色，然后点击分配管理员角色 。

3. 点击分配服务账号 。

4. 输入服务账号的电子邮件地址。

5. 依次点击添加 > 分配角色。

为服务账号创建凭据

您需要以公钥/私钥对的形式获取凭据。您的代码会使用这些凭据来授权应用中的服务账号操作。

如需获取服务账号的凭据，请执行以下操作：

1. 在 Google Cloud 控制台中，依次前往“菜单”图标 menu > IAM 和管理 > 服务账号。

   转到“服务账号”

2. 选择您的服务账号。
3. 依次点击密钥 > 添加密钥 > 创建新密钥。
4. 选择 JSON ，然后点击 创建 。

   接下来系统就会为您生成新的公钥/私钥对并将其下载到您的 计算机；这对密钥仅此一份，请将下载的 JSON 文件另存为您的 工作目录中的credentials.json。此文件是此密钥的唯一副本。如需了解如何安全地存储密钥，请参阅管理服务账号密钥。

5. 点击关闭 。

可选：为服务账号设置全网域授权

如需代表 Google Workspace 组织中的用户调用 API，您需要通过超级管理员账号在 Google Workspace 管理控制台中向服务账号授予全网域授权。如需了解详情，请参阅 向您的服务账号进行全网域授权。

如需为服务账号设置全网域授权，请执行以下操作：

1. 在 Google Cloud 控制台中，依次前往“菜单”图标 menu > IAM 和管理 > 服务账号。

   转到“服务账号”

2. 选择您的服务账号。
3. 点击显示高级设置 。
4. 在“全网域授权”下，找到服务账号的“客户端 ID”。点击“复制”图标 content_copy 即可将客户端 ID 值复制到剪贴板。

5. 如果您拥有相关 Google Workspace 账号的超级管理员访问权限，请点击 查看 Google Workspace 管理控制台，然后使用超级管理员用户 账号登录，并继续按照以下步骤操作。

   如果您没有相关 Google Workspace 账号的超级管理员访问权限， 请与该账号的超级管理员联系，并向其发送服务账号的客户端 ID 和 OAuth 权限范围列表，以便他们可以在管理控制台中完成以下步骤。

1. 在 Google 管理控制台中，依次前往“菜单”图标 menu > 安全性 > 访问权限和数据控件 > API 控件。

   前往“API 控件”

2. 点击管理全网域授权 。
3. 点击新增 。
4. 在“客户端 ID”字段中，粘贴您之前复制的客户端 ID。
5. 在“OAuth 权限范围”字段中，输入应用所需的权限范围列表，并以英文逗号分隔。这与您在配置 OAuth 权限请求页面时定义的一组权限范围相同。
6. 点击授权 。

下一步

您已准备好在 Google Workspace 上进行开发！查看 Google Workspace 开发者产品列表以及 如何寻求帮助。