授權應用程式

您須有服務帳戶,才能在 App Engine 上授權應用程式,且服務帳戶必須屬於您的應用程式,而非個別使用者。服務帳戶可用於授權對 Google API 和其他服務發出的呼叫。

Google 提供三種授權服務帳戶呼叫 Google API 的方法:

授權服務 用途
應用程式預設憑證 應用程式預設憑證使用 Google Cloud Platform 專案的內建服務帳戶。這是連線至 Google Cloud Platform API 最簡單的方法。
OAuth 2.0 授權 OAuth 2.0 授權是授權 Google Cloud 以外的應用程式託管、VM 或服務的最佳方法。您可以建立專屬於您的 OAuth 2.0 授權憑證以存取 Google API。
G Suite 全網域授權委派 全網域授權委派可讓您向第三方應用程式授予應用程式資料的全網域存取權。此方法以 OAuth 2.0 為基礎,授予整個 G Suite 帳戶網域的存取權。

應用程式預設憑證

應用程式預設憑證提供最簡單的方法,讓您取得及使用服務帳戶憑證以呼叫其他 Google Cloud Platform API。應用程式預設憑證可針對在 App Engine 或 Compute Engine 上執行的專案使用內建服務帳戶。

如果對獨立於使用者的應用程式所發出的呼叫必須具備相同的身分和授權層級,應用程式預設憑證是最合適的方式。我們建議您使用這個方法授權對 Google Cloud Platform API 發出的呼叫,特別是在您要建構部署到 App Engine、Google Kubernetes Engine 或 Compute Engine 虛擬機器的應用程式時。

如需應用程式預設憑證的使用範例,請參閱 Google Identity Platform 說明文件

OAuth 2.0 授權

如果您使用 Google Cloud Platform 以外的應用程式託管服務或是 VM,則可以建立自己的 OAuth 2.0 授權憑證以存取 Google API。如要瞭解如何使用 Google 提供的 OAuth 2.0 程式庫來呼叫 Google API,請參閱使用 OAuth 2.0 存取 Google API。如需 OAuth 2.0 與 Google 搭配使用的互動示範 (包括示範如何使用自己的用戶端憑證),歡迎試用 OAuth 2.0 Playground

如果想要讓應用程式從其他 Google 服務呼叫使用者資料,您需要設定網路伺服器應用程式適用的 OAuth 2.0。例如,如果想要從 Google 雲端硬碟提取使用者資料,並將該資料帶入您的應用程式,您可以使用網路伺服器應用程式適用的 OAuth 2.0 來共用特定資料,同時保有使用者名稱和密碼等其他資料的私密性。

G Suite 全網域授權委派

如果您擁有 G Suite 網域,G Suite 網域管理員可授權應用程式代表 G Suite 網域中的使用者來存取使用者資料。例如,透過 Google Calendar API 在 G Suite 網域中所有使用者的日曆中加入事件的應用程式,可以使用服務帳戶代表這些使用者存取 Google Calendar API。

這種授權服務帳戶代表所有網域使用者存取資料的方式,有時稱為「委派全網域授權」給服務帳戶。這種方法仍然使用 OAuth 2.0,並且需要 G Suite 網域管理員委派全網域授權給服務帳戶

G Suite 全網域授權委派頁面包含如何實作這個方法的範例。如要進一步瞭解如何使用 OAuth 2.0 來設定網域用戶端情境,請參閱 Google 帳戶驗證和授權

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Java 適用的 App Engine 彈性環境文件