Anfragen autorisieren

Wenn Ihre Anwendung private Daten anfordert, muss die Anfrage von einem authentifizierten Nutzer autorisiert werden, der Zugriff auf diese Daten hat.

Fordert Ihre Anwendung dagegen öffentliche Daten an, muss die Anfrage nicht autorisiert werden. Sie benötigt jedoch eine Kennung, z. B. einen API-Schlüssel.

Jede Anfrage, die von der Anwendung an die Resource Manager API gesendet wird, muss die Anwendung für Google identifizieren. Dafür gibt es zwei Möglichkeiten: die Verwendung eines OAuth 2.0-Tokens, das auch die Anfrage autorisiert, und/oder die Verwendung des API-Schlüssels der Anwendung. Welche dieser Optionen Sie nutzen sollten, hängt von Folgendem ab:

  • Wenn die Anfrage eine Autorisierung erfordert, beispielsweise für private Daten einer Person, muss die Anwendung ein OAuth 2.0-Token mit der Anfrage bereitstellen. Die Anwendung kann auch den API-Schlüssel bereitstellen, dies ist jedoch nicht notwendig.
  • Wenn die Anfrage keine Autorisierung erfordert, beispielsweise bei einer Anfrage in Bezug auf öffentliche Daten, muss die Anwendung entweder den API-Schlüssel oder ein OAuth 2.0-Token oder beides bereitstellen, je nachdem, was für Sie am bequemsten ist.

Über Autorisierungsprotokolle

Ihre Anwendung muss OAuth 2.0 verwenden, um Anfragen zu autorisieren. Es werden keine anderen Autorisierungsprotokolle unterstützt. Wenn Ihre Anwendung Google Log-in nutzt, werden einige Aspekte der Autorisierung für Sie übernommen.

Anfragen mit OAuth 2.0 autorisieren

Anfragen an die Resource Manager API in Bezug auf nicht öffentliche Nutzerdaten müssen durch einen authentifizierten Nutzer autorisiert werden.

Die Details dieses Autorisierungsvorgangs oder -ablaufs für OAuth 2.0 können abhängig davon, welche Art von Anwendung Sie schreiben, variieren. Der folgende allgemeine Ablauf gilt für alle Anwendungstypen:

  1. Wenn Sie Ihre Anwendung erstellen, registrieren Sie diese über die Google Cloud Console. Google stellt Ihnen dann die Informationen bereit, die Sie später benötigen, z. B. eine Client-ID und einen Clientschlüssel.
  2. Aktivieren Sie die Resource Manager API in der Google Cloud Console. Überspringen Sie diesen Schritt, falls die API nicht in der Cloud Console aufgeführt ist.
  3. Wenn Ihre Anwendung Zugriff auf Nutzerdaten benötigt, bittet sie Google um einen bestimmten Zugriffsbereich.
  4. Dem Nutzer wird von Google ein Zustimmungsbildschirm angezeigt, auf dem er gebeten wird, Ihre Anwendung zu autorisieren, einige seiner Daten abzufragen.
  5. Wenn der Nutzer zustimmt, erhält Ihre Anwendung von Google ein kurzlebiges Zugriffstoken.
  6. Die Anwendung fordert Nutzerdaten an, wobei das Zugriffstoken an die Anfrage angehängt wird.
  7. Stellt Google fest, dass Ihre Anfrage und das Token gültig sind, werden die angeforderten Daten zurückgegeben.

Einige Abläufe beinhalten zusätzliche Schritte, beispielsweise die Verwendung von Aktualisierungstokens, um neue Zugriffstokens zu erhalten. Weitere Informationen über die Abläufe für die unterschiedlichen Anwendungstypen finden Sie in der OAuth 2.0-Dokumentation.

Im Folgenden finden Sie Informationen zum Umfang von OAuth 2.0 für die Resource Manager API:

Bereich Bedeutung
https://www.googleapis.com/auth/cloud-platform Lese-/Schreibzugriff

Zur Anforderung eines Zugriffs mit OAuth 2.0 benötigt Ihre Anwendung die Information zum Umfang sowie die Informationen, die Google bei der Registrierung Ihrer Anwendung, z. B. die Client-ID und den Clientschlüssel, bereitstellt.

Tipp: Die Google API-Clientbibliotheken können einige Schritte des Autorisierungsvorgangs für Sie übernehmen. Diese sind in zahlreichen Programmiersprachen verfügbar. Weitere Informationen dazu finden Sie auf der Seite mit Bibliotheken und Beispielen.

API-Schlüssel erhalten und nutzen

An Anfragen an die Resource Manager API für öffentliche Daten muss eine Kennung angehängt werden. Diese kann ein API-Schlüssel oder ein Zugriffstoken sein.

So erhalten Sie einen API-Schlüssel:

  1. Öffnen Sie in der Cloud Console die Seite "Anmeldedaten".
  2. Diese API unterstützt zwei Arten von Anmeldedaten. Erstellen Sie für Ihr Projekt geeignete Anmeldedaten:
    • OAuth 2.0: Wenn Ihre Anwendung private Nutzerdaten anfordert, muss sie zusammen mit der Anfrage ein OAuth 2.0-Token senden. Die Anwendung sendet zuerst eine Client-ID und möglicherweise einen Clientschlüssel, um ein Token zu erhalten. Sie können OAuth 2.0-Anmeldedaten für Webanwendungen, Dienstkonten oder installierte Anwendungen generieren.

      Weitere Informationen finden Sie in der OAuth 2.0-Dokumentation.

    • API-Schlüssel: Eine Anfrage, die kein OAuth 2.0-Token bereitstellt, muss einen API-Schlüssel senden. Mit diesem Schlüssel werden Ihr Projekt identifiziert sowie der API-Zugriff, das Kontingent und Berichte bereitgestellt.

      Die API unterstützt mehrere Arten von Einschränkungen für API-Schlüssel. Wenn der API-Schlüssel, den Sie benötigen, noch nicht existiert, können Sie ihn in der Konsole erstellen, indem Sie auf Anmeldedaten erstellen > API-Schlüssel klicken. Sie können Einschränkungen für diesen Schlüssel festlegen, bevor Sie ihn in der Produktion einsetzen. Klicken Sie dazu auf Schlüssel einschränken und wählen Sie dann eine der Einschränkungen aus.

Folgen Sie zur Wahrung der Sicherheit Ihrer API-Schlüssel den Best Practices zur sicheren Verwendung von API-Schlüsseln.

Nachdem Sie einen API-Schlüssel haben, kann Ihre Anwendung den Abfrageparameter key=yourAPIKey an alle Anfrage-URLs anhängen.

Der API-Schlüssel lässt sich sicher in URLs einbetten. Eine Codierung ist nicht notwendig.