Anfragen autorisieren

Wenn Ihre Anwendung private Daten anfordert, muss die Anfrage von einem authentifizierten Nutzer autorisiert werden, der Zugriff auf diese Daten hat.

Fordert Ihre Anwendung dagegen öffentliche Daten an, muss die Anfrage nicht autorisiert werden. Sie benötigt jedoch eine Kennung, z. B. einen API-Schlüssel.

Jede Anfrage, die von der Anwendung an die Resource Manager API gesendet wird, muss die Anwendung für Google identifizieren. Dafür gibt es zwei Möglichkeiten: die Verwendung eines OAuth 2.0-Tokens, das auch die Anfrage autorisiert, und/oder die Verwendung des API-Schlüssels der Anwendung. Welche dieser Optionen Sie nutzen sollten, hängt von Folgendem ab:

  • Wenn die Anfrage eine Autorisierung erfordert, beispielsweise für private Daten einer Person, muss die Anwendung ein OAuth 2.0-Token mit der Anfrage bereitstellen. Die Anwendung kann auch den API-Schlüssel bereitstellen, dies ist jedoch nicht notwendig.
  • Wenn die Anfrage keine Autorisierung erfordert, beispielsweise bei einer Anfrage in Bezug auf öffentliche Daten, muss die Anwendung entweder den API-Schlüssel oder ein OAuth 2.0-Token oder beides bereitstellen, je nachdem, was für Sie am bequemsten ist.

Über Autorisierungsprotokolle

Ihre Anwendung muss OAuth 2.0 verwenden, um Anfragen zu autorisieren. Es werden keine anderen Autorisierungsprotokolle unterstützt. Wenn Ihre Anwendung Google Log-in nutzt, werden einige Aspekte der Autorisierung für Sie übernommen.

Anfragen mit OAuth 2.0 autorisieren

Anfragen an die Resource Manager API in Bezug auf nicht öffentliche Nutzerdaten müssen durch einen authentifizierten Nutzer autorisiert werden.

Die Details dieses Autorisierungsvorgangs oder -ablaufs für OAuth 2.0 können abhängig davon, welche Art von Anwendung Sie schreiben, variieren. Der folgende allgemeine Ablauf gilt für alle Anwendungstypen:

  1. Wenn Sie Ihre Anwendung erstellen, können Sie diese über die Google Cloud Platform Console registrieren. Google stellt Ihnen dann die Informationen bereit, die Sie später benötigen, z. B. eine Client-ID und einen Clientschlüssel.
  2. Wählen Sie die Resource Manager API in der Google Cloud Platform Console aus. Wenn die API nicht in der GCP Console aufgelistet ist, können Sie diesen Schritt überspringen.
  3. Wenn Ihre Anwendung Zugriff auf Nutzerdaten benötigt, bittet sie Google um einen bestimmten Zugriffsbereich.
  4. Dem Nutzer wird von Google ein Zustimmungsbildschirm angezeigt, auf dem er gebeten wird, Ihre Anwendung zu autorisieren, einige seiner Daten abzufragen.
  5. Wenn der Nutzer zustimmt, erhält Ihre Anwendung von Google ein kurzlebiges Zugriffstoken.
  6. Die Anwendung fordert Nutzerdaten an, wobei das Zugriffstoken an die Anfrage angehängt wird.
  7. Stellt Google fest, dass Ihre Anfrage und das Token gültig sind, werden die angeforderten Daten zurückgegeben.

Einige Abläufe beinhalten zusätzliche Schritte, beispielsweise die Verwendung von Aktualisierungstokens, um neue Zugriffstokens zu erhalten. Weitere Informationen über die Abläufe für die unterschiedlichen Anwendungstypen finden Sie in der OAuth 2.0-Dokumentation von Google.

Im Folgenden finden Sie Informationen zum Umfang von OAuth 2.0 für die Resource Manager API:

Bereich Bedeutung
https://www.googleapis.com/auth/cloud-platform Lese-/Schreibzugriff

Zur Anforderung eines Zugriffs mit OAuth 2.0 benötigt Ihre Anwendung die Informationen zum Umfang sowie die Informationen, die Google bei der Registrierung Ihrer Anwendung bereitstellt (z. B. die Client-ID und den Clientschlüssel).

Tipp: Die Google API-Clientbibliotheken können einige Schritte des Autorisierungsvorgangs für Sie übernehmen. Diese sind in zahlreichen Programmiersprachen verfügbar. Weitere Informationen dazu finden Sie auf der Seite mit Bibliotheken und Beispielen.

API-Schlüssel erhalten und nutzen

Anfragen an die Resource Manager API für öffentliche Daten muss eine Kennzeichnung angehängt werden, bei der es sich um einen API-Schlüssel oder ein Zugriffstoken handeln kann.

So erhalten Sie einen API-Schlüssel:

  1. Öffnen Sie in der GCP Console die Seite "Anmeldedaten".
  2. Diese API unterstützt zwei Arten von Anmeldedaten. Erstellen Sie für Ihr Projekt angemessene Anmeldedaten:
    • OAuth 2.0: Wann immer Ihre Anwendung private Nutzerdaten anfordert, muss ein OAuth 2.0-Token mit der Anfrage gesendet werden. Die Anwendung sendet zuerst eine Client-ID und unter Umständen zusätzlich einen Clientschlüssel, um das Token zu erhalten. Sie können OAuth 2.0-Anmeldedaten für Webanwendungen, Dienstkonten oder installierte Anwendungen generieren.

      Weitere Informationen finden Sie in der OAuth 2.0-Dokumentation.

    • API-Schlüssel: Eine Anfrage, die kein OAuth 2.0-Token bereitstellt, muss einen API-Schlüssel senden. Mit diesem Schlüssel werden Ihr Projekt identifiziert sowie der API-Zugriff, das Kontingent und Berichte bereitgestellt.

      Die API unterstützt mehrere Arten von Einschränkungen für API-Schlüssel. Wenn der API-Schlüssel, den Sie benötigen, noch nicht existiert, können Sie ihn in der Konsole erstellen, indem Sie auf Anmeldedaten erstellen > API-Schlüssel klicken. Sie können Einschränkungen für diesen Schlüssel festlegen, bevor Sie ihn in der Produktion einsetzen, indem Sie auf Schlüssel einschränken klicken und eine der Einschränkungen auswählen.

Folgen Sie zur Wahrung der Sicherheit Ihrer API-Schlüssel den Best Practices zur sicheren Verwendung von API-Schlüsseln.

Nachdem Sie einen API-Schlüssel erhalten haben, kann die Anwendung an alle Anfrage-URLs den Suchparameter key=yourAPIKey anhängen.

Der API-Schlüssel lässt sich sicher in URLs einbetten. Eine Codierung ist nicht notwendig.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager