"실제 사용자"와 API 간의 일관성없는 동작

Question

우선, 해당 채널을 사용하여 죄송합니다. 그러나 드라이브 SDK 문제에 대한 다른 "열린"통신 채널은 없습니다.

브라우저에서 액세스 할 수없는 Google 드라이브 문서에 액세스하려고하면 파일에 대한 액세스를 요청할 수있는 훌륭한 경고 메시지가 표시됩니다. 문서가 존재하며 액세스 권한이 없음).

API에서 액세스 권한이없는 파일에 액세스하려고하면 404라는 문구가 표시되며 문서를 확인하지 않습니다.

Google Apps 도메인에서 작업 할 때 특히주의해야합니다. 즉, 사용자 U로부터 파일 X에 액세스 할 수 있으며 내일 사용자 U가 API에서 파일 (예 : 소유권 변경)에 대한 액세스를 잃어 버립니다. 그 파일을 찾을 곳을 가리키는 포인터가 전혀 없거나 파일이 존재하는 경우에도 404를 얻을 것입니다!

브라우저에서 "액세스 권한 요청"을하고 기다리면되지만 API에는 두 가지 옵션이 있습니다. a) 파일이 없어진 것으로 가정합니다. b) 알고있는 모든 사용자 계정에서 해당 파일을 쿼리합니다.

그래서, 내 제안/요청에 간다 : , 403은 는 또한, 대한 포인터를 추가하시기 바랍니다 .. 좋은 것 그에게 더 나은 코드있어 404에 응답하지 마십시오 "어디로 가야합니다 "응답 코드에. 404를 유지하면서 "소유자"의 포인터를 추가 할 수도 있습니다.

그리고는 마지막으로 도메인 내부 모든 :

감사 마크이 인상에 대한

Answer 1

감사를 검색 할 수있는 서비스 계정에 대한 몇 가지 방법을 찾을 수 있습니다. API와 사용자 사례 간에는 미묘한 차이가 있습니다. API를 사용하면 엄청난 수의 임의 ID를 보내 파일을 찾는 것이 훨씬 쉽습니다. 파일이 있지만 공유되지 않은 인스턴스에서 403을 반환하면이 정보를 실행하는 스크립트에 일부 정보가 누설됩니다. 파일에 대한 액세스 권한이 없으면 파일이 있는지 여부를 알 권리가 없습니다.

사용자의 경우, 원하는 파일을 찾을 때까지 많은 파일 ID를 시도하는 것이 훨씬 어렵습니다. 브라우저에서 너무 오랜 시간이 걸리기 때문에 위험 할 수 있습니다. 예를 들어, 링크를 클릭하면 이미 파일이 있다는 것을 알고 있으므로 추가 정보가 유출되지 않습니다.

도메인의 모든 파일을 검색하는 서비스 계정은 훌륭한 기능 요청입니다. 감사합니다. 그래도 사용할 수 없습니다. 죄송합니다.