0

これは非常に高レベルの質問であり、高レベルの回答にもなるので、正しい方向に向けたいくつかの指針を探しています。

ユーザーのGoogleコンタクトを管理するためのWebアプリケーションを構築したいとします。これは、ユーザーがGoogleの連絡先を管理するための権限を要求しながら、自分のGoogleアカウントでログインできるようにすることで実現されることを理解しています。ここまでは順調ですね。

次に、外部ブラウザ拡張機能やAndroidクライアントなどの独自のAPIレイヤーを公開したいと思います。しかし、APIクライアントがGoogleに対して認証されるようにしたいのですが、シークレットとして、アプリケーションがユーザーのカレンダーに完全にアクセスできるようにしたくありません。トークンはサーバーに保存されます。

では、これは通常どのように処理されますか?多くのセキュリティコードを実装せずに、できるだけ本でやりたいと思っています。

ところで、質問のレベルが高すぎますが、技術的なドキュメントを教えてください。

ありがとう

4

1 に答える 1

1

ユーザーのリソースへの制限付きアクセスは、制限付きのOAuthスコープによってのみ保証されます。

https://developers.google.com/gdata/docs/auth/oauth#Scope

連絡先APIなどの一部のAPIは、すべてのデータへのアクセスを提供する単一のスコープのみを提供します。このような場合、ユーザーは自分のすべての連絡先へのアクセスを許可するか、いずれにもアクセスを許可しないかを選択することしかできません。

他のAPIは異なるOAuthスコープを公開し、開発者がユーザーのデータのサブセットへのアクセスのみを要求できるようにします。この良い例は、GoogleドライブAPIです。これには、開発者が選択できる5つの異なるスコープがあります。

https://developers.google.com/drive/scopes

于 2012-07-30T04:14:17.267 に答える