背景:我是PlantUML Gizmo的创建者,它是最早的 Google Docs 插件之一。因此,它是一种遗留的附加组件,早在今天管理 OAuth 2.0 范围和同意的流程(似乎仍在发展)之前,我就开始了开发。有一次我什至不得不将它迁移到 G Suite Marketplace,所以我不完全确定今天创建新插件的过程会是什么样子。
几周前,我收到了一封来自 Google 的电子邮件,说我必须在某个日期之前“提交您的应用程序的敏感范围以进行 OAuth API 验证”,我现在正努力尊重这一点。
这是我看到的范围列表:
其中两个让我感到惊讶,即电子邮件和个人资料。我的插件不直接使用这些东西,所以我从来没有(据我所知)请求这些范围。
另一方面,我记得在早期,我的插件会请求“允许此应用程序在您不在时运行”的权限(请参阅权限列表)。我从一名 Google 员工(或现在已死的 Google+ 论坛上)那里得到的解释是,这是由于 OAuth 令牌在您离线时被刷新。当用户不存在时,我从不明确地在我的代码中执行任何操作!
所以我的问题是要知道为什么我的附加组件在配置时需要它email和/或范围。profile我今天可以轻松删除这些范围,但我害怕破坏某些功能。
在 Scopes 页面中单击,Learn more我会看到一长串 API。我可以email在此页面上找到范围,它只显示:
我没有明确要求该范围。我如何知道它是否来自 API 调用(例如,保存偏好数据等)?范围也是如此profile。
ps 我一直觉得作为用户(开发人员)知道哪些功能(API 调用)需要哪些权限/范围是令人沮丧的。我一直想要透明度(并作为开发人员提供)。