Gmail API Scopes Uitgelegd: Kies de Juiste Machtigingen voor je App

Unipile - Inhoudsopgave
Unipile - Gmail API Scopes Held
Gmail API Gids

Gmail API Scopes Uitgelegd: Kies de Juiste rechten voor Jouw App

Alle gedocumenteerde Gmail API-scopes: van gmail.alleenlezen naar mail.google.com. Begrijp de 3 gevoeligheidsniveaus, kies de minimale scope die je app daadwerkelijk nodig heeft en implementeer je OAuth-flow sneller.

gmail-oauth-scopes.js
// Vraag Gmail API scopes aan in OAuth-stroom const SCOPES = [ 'https://www.googleapis.com/auth/gmail.readonly', 'https://www.googleapis.com/auth/gmail.send', 'https://www.googleapis.com/auth/gmail.labels', ]; const authUrl = oauth2Client.genereerAuthUrl({ toegangstype: 'offline', bereik SCOPES, aanwijzing 'toestemming', });
gmail.alleenlezen Beperkt
gmail.verzenden Gevoelig
gmail.labels Niet-gevoelig
Grondbeginselen

Wat zijn Gmail API Scopes?

Voordat je ook maar één regel OAuth-code schrijft, moet je begrijpen wat Gmail API-scopes zijn en waarom het kiezen van de verkeerde je app kan belemmeren om in productie te gaan. Dit gedeelte geeft je de fundamentele kennis in minder dan twee minuten.

Definitie

Gmail API-bereiken zijn OAuth 2.0-permissiestrings die precies definiëren tot welke Gmail-resources uw toepassing namens een gebruiker toegang kan krijgen. Wanneer een gebruiker uw app autoriseert, toont Google een toestemmingsscherm met de door uw app aangevraagde Gmail API-scopes. De gebruiker verleent of weigert toegang op basis van die scopes. Eenmaal verleend, is uw toegangstoken beperkt tot precies de acties die die scopes toestaan - niets meer.

Veiligheidsgrens

Gmail API-bereiken creëren een harde grens rond wat je token kan doen. Zelfs als je server is gecompromitteerd, kan een aanvaller met een gmail.alleenlezen token kan geen e-mails verzenden of verwijderen. Scopes worden aan de serverzijde afgedwongen door Google.

Google verificatiepoort

Beperkte Gmail API-bereiken vereisen dat uw app de beveiligingsbeoordeling van Google doorstaat voordat u deze in productie kunt gebruiken met meer dan 100 testgebruikers. De verkeerde keuze van bereiken kan uw lanceringsplanning met weken of maanden verlengen.

Vertrouwenssignaal voor de gebruiker

Meer Gmail API-machtigingen aanvragen dan uw app nodig heeft, activeert de waarschuwing "Deze app wil brede toegang tot uw Google-account". Minimale Gmail API-scopes produceren een eenvoudiger toestemmingsscherm, wat de conversie en het vertrouwen van gebruikers vergroot.

Sla scope management volledig over. Unipile beheert Gmail OAuth en scopes intern - jouw team focust op productlogica, niet op permissiestrings.

Bouw het met Unipile
Unipile - Gmail Scope Gevoeligheidsniveaus
Scopeclassificatie

De 3 Gevoeligheidsniveaus Uitgelegd

Google classificeert alle Gmail API-bereiken in 3 gevoeligheidsniveaus. Elk niveau bepaalt de verificatievereisten voordat je app live kan gaan. Het begrijpen van deze classificatie is de belangrijkste beslissing die je neemt bij het plannen van je Gmail-integratie.

Niet-gevoelig
Niet-gevoelige bereiken

De laagste risicocategorie. Deze scopes hebben toegang tot beperkte, niet-persoonlijke Gmail-gegevens. Google vereist geen formele beveiligingsbeoordeling om ze in productie te gebruiken.

Verificatie Standaard OAuth app review
Testgebruikers Onbeperkt zodra de app is geverifieerd
Voorbeelden
gmail.labels gmail.addons.current.action.compose
Gevoelig
Gevoelige scopes

Middelgroot risiconiveau. Deze scopes hebben toegang tot Gmail-berichtgegevens die persoonlijke informatie kunnen onthullen. Aanvullende verificatie is vereist vóór gebruik in productie.

Verificatie Google OAuth-appverificatie vereist
Testgebruikers Tot 100 tijdens testen
Voorbeelden
gmail.verzenden gmail.addons.current.message.readonly
Beperkt
Beperkte bereiken

Hoogste risicocategorie. Deze scopes verlenen brede of gevoelige toegang tot Gmail-gegevens. Google vereist een formele beveiligingsbeoordeling door een goedgekeurde externe auditor.

Verificatie Jaarlijkse veiligheidsbeoordeling (~1.000 tot 4.000 per jaar)
Testgebruikers Tot 100 tijdens testen
Voorbeelden
gmail.alleenlezen gmail-aanpassen mail.google.com/
Criteria Niet-gevoelig Gevoelig Beperkt
Toegang tot berichtinhoud Geen Soms Ja
Beveiligingsbeoordeling vereist Geen Geen Ja
App-recensie vereist Ja Ja Ja
Jaarlijkse hercertificering Geen Geen Ja
Waarschuwingsniveau van het toestemmingsscherm Standaard Standaard + openbaarmaking Brede toegangs-waarschuwing
Typische kosten om te verifiëren Gratis Gratis ~$500/jaar (taxateur)
Toegang tot berichtinhoud
Niet-gevoeligGeen
GevoeligSoms
BeperktJa
Beveiligingsbeoordeling vereist
Niet-gevoeligGeen
GevoeligGeen
BeperktJa
App-recensie vereist
Niet-gevoeligJa
GevoeligJa
BeperktJa
Jaarlijkse hercertificering
Niet-gevoeligGeen
GevoeligGeen
BeperktJa
Waarschuwingsniveau van het toestemmingsscherm
Niet-gevoeligStandaard
GevoeligStandaard + openbaarmaking
BeperktBrede toegangs-waarschuwing
Typische kosten om te verifiëren
Niet-gevoeligGratis
GevoeligGratis
Beperkt~$500/jaar (taxateur)
Volledige referentie

Volledige Naslagwerk Gmail API Scopes

De volledige lijst met Gmail API-scopes, gegroepeerd op gevoeligheidsniveau. Gebruik deze tabel als uw enige referentie bij het kiezen van Gmail API-machtigingen voor uw applicatie. Scopes gemarkeerd met "2026" weerspiegelen de nieuwste toevoegingen aan de scope-lijst van Google.

Scope URI Toegangsniveau Wat het Toegangt Krijgt Wanneer te gebruiken
gmail.addons.current.action.compose Niet-gevoelig Laat add-ons e-mails samenstellen en verzenden tijdens het samenstellen van een e-mail. Gmail-add-ons die e-mails opstellen of verzenden namens de gebruiker binnen het opstelvenster
gmail.addons.current.message.action Niet-gevoelig Sta add-ons toe om de huidige e-mail te bekijken tijdens een berichtactie Gmail-invoegtoepassingen die reageren op een berichtactie (archiveren, labelen) in de berichtcontext
gmail.labels 2026 Niet-gevoelig Labels zien en bewerken (aanmaken, hernoemen, verwijderen), maar niet de inhoud van berichten Apps die e-mail organiseren met labels zonder dat de berichtinhoud gelezen hoeft te worden
Scope URI Toegangsniveau Wat het Toegangt Krijgt Wanneer te gebruiken
gmail.addons.current.message.metadata Gevoelig E-mailheaders en metadata (Van, Aan, Onderwerp, Datum) in add-on context - niet berichtinhoud Add-ons die contextuele informatie weergeven op basis van afzender of onderwerp, zonder de inhoud te lezen
gmail.addons.current.message.readonly Gevoelig Volledige lees toegang tot de huidige e-mail inclusief inhoud en bijlagen, in add-on context Add-ons die de momenteel geopende boodschap analyseren of er gegevens uit extraheren
gmail.verzenden Gevoelig E-mail verzenden namens de geauthenticeerde gebruiker - geen lees- of wijzigingstoegang Apps die alleen transactionele of outreach-e-mails verzenden en de inbox niet hoeven te lezen
Scope URI Toegangsniveau Wat het Toegangt Krijgt Wanneer te gebruiken
mail.google.com/ Beperkt Volledige toegang tot postvak: e-mails en instellingen lezen, opstellen, verzenden en permanent verwijderen Alleen wanneer u alle Gmail-mogelijkheden nodig hebt in één bereik - doorgaans verouderde integraties
gmail.alleenlezen Beperkt Alleen-lezen toegang tot alle berichten, discussies, labels en instellingen - kan niet verzenden of wijzigen Analytische, archiverings-, zoek- of e-mailintelligentietools die alleen inboxgegevens lezen
gmail_opstellen Beperkt Maak en beheer concepten, en verstuur die concepten - geen toegang tot bestaande e-mails Afzenderbeheerhulpprogramma's, e-mailopstellers of apps die e-mails in de wachtrij plaatsen voordat ze worden verzonden
gmail.invoegen 2026 Beperkt Alleen berichten in de Gmail-inbox invoegen - bestaande e-mails kunnen niet worden gelezen of verzonden Migratietools of systemen die e-mails naar Gmail importeren vanuit externe bronnen
gmail-aanpassen Beperkt E-mails en labels lezen, opstellen, verzenden en beheren - permanent verwijderen is niet mogelijk Volwaardige e-mailclients, CRM-synctools, helpdeskintegraties die lezen+verzenden+labelen nodig hebben
gmail.metadata Beperkt Alleen headers en labels - geen toegang tot e-mailbody of bijlagen Apps die e-mails categoriseren of routeren op basis van metadata zonder de privéinhoud te lezen
gmail.instellingen.basis Beperkt Beheer basale Gmail-instellingen: filters, doorstuurbelijd, POP/IMAP-instellingen E-mailproductiviteitstools die Gmail-routering of -filtering configureren namens gebruikers
gmail.instellingen.delen Beperkt Beheer van gevoelige instellingen: send-as-aliassen, gedelegeerden, afwezigheidsmeldingen (alleen domeinbeheerder) Alleen beheertools voor werkruimten - vereist domeinbeheerdersrechten om in te schakelen

Beheer deze Gmail API-scopes niet handmatig. De Gmail-integratie van Unipile regelt automatisch OAuth-scope-aanvragen, tokenverversing en herautorisatie-stromen voor de gekoppelde accounts van uw gebruikers.

Bouw je Gmail-app
Gebruiksscenario Matrix

Welke Gmail API Scope heb je nodig?

Het allerbelangrijkste principe bij het selecteren van Gmail API-scopes is het principe van minimale toegang: vraag alleen de Gmail API-machtigingen aan die je app daadwerkelijk nodig heeft. Deze tabel koppelt veelvoorkomende gebruiksscenario's aan de minimaal aanbevolen scope, zodat je onnodige verificatie-overhead voorkomt en het vertrouwen van gebruikers beschermt.

Gebruikscasus Minimale reikwijdte Verificatieniveau Notities
Alleen e-mails verzenden (geen inbox lezen) gmail.verzenden Gevoelig Ideaal voor transactionele of outreach tools. Geen toegang tot bestaande berichten.
Lees inbox voor analyses of zoek gmail.alleenlezen Beperkt Volledige leesrechten voor alle berichten en instellingen. Vereist een jaarlijkse veiligheidsbeoordeling.
Volledige e-mailclient (lezen + verzenden + labelen) gmail-aanpassen Beperkt Verkies boven mail.google.com/ omdat permanent verwijderen is uitgesloten. Dekt de meeste CRM- en helpdesk-gebruiksscenario's.
E-mails permanent archiveren of back-uppen mail.google.com/ Beperkt Gebruik dit alleen als je echt verwijderingsrechten nodig hebt. Activeert de breedste Google-toestemmingswaarschuwing.
Alleen labels organiseren gmail.labels Niet-gevoelig Nieuw in 2026. Minimale permissies voor labelbeheer zonder berichten te lezen.
Conceptbeheer (wachtrij voor verzenden) gmail_opstellen Beperkt Toegang tot concepten en verzendmogelijkheden, maar geen leesrechten voor bestaande berichten.
Metadata routering of categorisatie gmail.metadata Beperkt Alleen headers en labels - geen toegang tot de body. Goed voor routeringsengines die berichtenprivacy respecteren.
E-mailmigratie / importeren in Gmail gmail.invoegen Beperkt Nieuw in 2026. Alleen-invoertoegang - beter afgebakend alternatief voor mail.google.com/ voor importgereedschappen.
Configureer Gmail filters en doorsturen gmail.instellingen.basis Beperkt Beheer filters, labels, doorstuurregels. Geen toegang tot de berichteninhoud.
Gmail-invoegtoepassing: toon afzendercontext gmail.addons.current.message.metadata Gevoelig Alleen headers in de context van de add-on. Vermijdt volledige toegang tot de berichtinhoud.
Combineer scopes alleen wanneer nodig

Je kunt meerdere Gmail API-bereiken combineren in één OAuth-verzoek (bijvoorbeeld, gmail.verzenden + gmail.labels), maar elke scope voegt toe aan de openbaarmaking op het toestemmingsscherm. Controleer altijd uw lijst met scopes voordat u naar productie gaat. Als u een volledig product voor Gmail-synchronisatie bouwt, is de OAuth E-mail API-handleiding dekt de complete workflow, inclusief tokenbeheer en scope-herautorisatie.

Weken van verificatie.
Gebruik Unipile's sleutel en begin nu.

Mis geen klanten door te wachten op Google's beoordeling. Koppel Gmail-accounts in 5 minuten met onze vooraf geverifieerde ontwikkelaarsgegevens.

SOC 2 - AVG - Geen app-review nodig - Schakel op elk moment over naar je eigen sleutel
CASA Tier 2 Gecertificeerd
connect-gmail.shkrul
# Geen Google Cloud Console. Geen beoordeling.#: koppel elk Gmail-account binnen 5 minuten. krul -X POST "https://api.unipile.com/v1/accounts" \ -H ""X-API-KEY: $UNIPILE_KEY"" \ -d '{ "provider": "GOOGLE_OAUTH", "gebruik_unipile_credentials": true }'
Verificatieproces

Gespecificeerde Scope Verificatie: Wat het betekent voor uw app

Als uw app een beperkte Gmail API-scope nodig heeft - waaronder gmail.alleenlezen, gmail-aanpassenof mail.google.com/ - je moet het beveiligingsbeoordelingsproces van Google voltooien voordat je live gaat met meer dan 100 testgebruikers. Hier is hoe dat proces eruitziet en hoe je de overhead kunt minimaliseren.

1
Registreer uw OAuth-app in de Google Cloud Console

Maak een project aan, schakel de Gmail API in en configureer het OAuth-instelscherm. Vul alle vereiste velden in: appnaam, ondersteuningsmailadres, geautoriseerde domeinen en de URL van het privacybeleid. Deze stap is vereist voor elk niveau van Gmail API-bereik.

2
Indienen voor app-review met beperkte bereiken gedeclareerd

Klik in het OAuth-instemmingsscherm op "Voorbereiden voor verificatie". Geef elke beperkte Gmail API-bereik op en geef een rechtvaardiging waarom uw app dit nodig heeft. Het team van Google beoordeelt dit voordat u wordt doorgestuurd naar een beveiligingsbeoordelaar.

3
Voltooi de beveiligingsbeoordeling van derden

Google verwijst apps met beperkte toegang naar een erkende beoordelaar (zoals Leviathan Security of Coalfire). De beoordeling kost ongeveer 1.450 euro per jaar. U moet een demo aanleveren, uw werkwijze voor gegevensverwerking toelichten en slagen voor een technische beoordeling van uw OAuth-implementatie.

4
Jaarlijkse hercertificering voor voortdurende toegang

Beperkte Gmail API-scopes vereisen jaarlijkse hertificering. Als u de verlengingsperiode mist, kan Google de productie-toegang van uw app intrekken. Houd vanaf de eerste dag van uw Gmail-integratie-architectuur rekening met deze terugkerende kosten en nalevingscyclus.

Hoe de verificatie van een beperkte reikwijdte te vermijden of te minimaliseren

Kies gmail.verzenden over gmail-aanpassen wanneer je app alleen e-mails verstuurt en de inbox niet hoeft te lezen. gmail.verzenden is een gevoelige (niet beperkte) scope en slaat de beveiligingsbeoordeling volledig over.

Gebruik gmail.metadata in plaats van gmail.alleenlezen als uw app e-mails routeert of categoriseert zonder de inhoud van de hoofdtekst te lezen. U heeft nog steeds verificatie nodig, maar de reikwijdte is kleiner en gemakkelijker te rechtvaardigen voor Google.

Gebruik een platform dat al Google-verificatie heeft. Als je voortbouwt op Unipile's Gmail-integratie, profiteert uw app van de vooraf geverifieerde OAuth-gegevens van Unipile, zodat u niet zelf door de beoordeling van de beperkte reikwijdte hoeft te gaan. Dit is het snelste pad naar productie voor de meeste SaaS-producten. Voor de volledige handleiding voor referenties en verificatie, zie onze Google OAuth app-verificatiehandleiding.

Blijf in het testvenster van 100 gebruikers tijdens vroege ontwikkeling. U kunt Gmail API-bereiken met beperkte toegang testen met maximaal 100 Google-accounts zonder de volledige verificatie te voltooien. Voeg testaccounts toe in de instellingen van het OAuth-toestemmingsscherm van de Google Cloud Console.

Als uw gebruiksscenario intern is binnen een Google Workspace-organisatie en u toegang nodig hebt tot meerdere postvakken zonder toestemming per gebruiker, is een serviceaccount met Domain-Wide Delegation het alternatief om te overwegen - zie onze Gmail serviceaccount & DWD gids.

Sla het Google-verificatieproces volledig over. Unipile's gehoste Gmail OAuth is al geverifieerd voor beperkte Gmail API-bereiken – uw gekoppelde accounts worden onmiddellijk verbonden zonder verdere beoordeling.

Begin vandaag met bouwen
Implementatie

Hoe Gmail API Scopes Aan te Vragen in Je OAuth Flow

Zodra u weet welke Gmail OAuth-bereiken uw app nodig heeft, declareert u deze bij het genereren van de autorisatie-URL. Hier zijn werkende codevoorbeelden in zowel Node.js als Python die precies laten zien hoe u Gmail API-machtigingen doorgeeft aan het OAuth-toestemmingsscherm.

gmail-scopes-node.js
// Node.js — Gmail API-bereiken in OAuth-stroom // Gebruikt google-auth-library (officiële Google-client) const { OAuth2Client } = require('google-auth-library'); const oauth2Client = nieuw OAuth2Client( process.env.GOOGLE_CLIENT_ID, process.env.GOOGLE_CLIENT_SECRET, process.env.REDIRECT_URI ); // Definieer de Gmail API-scopes die uw app nodig heeft Principe: vraag om de minimaal vereiste reikwijdte const SCOPES = [ 'https://www.googleapis.com/auth/gmail.readonly', // beperkt 'https://www.googleapis.com/auth/gmail.send', // gevoelig 'https://www.googleapis.com/auth/gmail.labels', // niet-gevoelig ]; // Genereer de OAuth-autorisatie-URL const authUrl = oauth2Client.genereerAuthUrl({ toegangstype: 'offline', // verzoek om vernieuwingstoken bereiken: BEREIKEN, aanwijzing 'toestemming', // dwing toestemming af om vernieuwingstoken te verkrijgen }); console.log('Gebruiker doorverwijzen naar:', authUrl); // Wissel na autorisatie van de gebruiker de code in voor tokens async function tokensOphalen(code) { const { tokens } = wacht op oauth2Client.token_ophalen(code); oauth2Client.stuurAanmeldgegevens(tokens); return tokens; }
Autorisatie-URL gegenereerd - gmail oauth scopes gedeclareerd
gmail-scopes.py
# Python — Toegangsbereiken van de Gmail-API in de OAuth-stroom # maakt gebruik van google-auth-oauthlib (de officiële bibliotheek van Google) van google_auth_oauthlib.flow importeer GeïnstalleerdeAppStroom van google.oauth2.credentials importeer Geloofsbrieven van google.auth.transport.requests importeer Verzoek importeer os # Bepaal de reikwijdte van de Gmail-API – vraag alleen op wat je nodig hebt SCOPES = [ 'https://www.googleapis.com/auth/gmail.readonly', # beperkt 'https://www.googleapis.com/auth/gmail.send', #-gevoelig 'https://www.googleapis.com/auth/gmail.labels', # niet-gevoelig ] def haal_gmail_gegevens(): geloofsbrieven = Niets # Bestaand token laden indien beschikbaar als os.path.bestaat('token.json'): creds = Credentials.van_geautoriseerde_gebruiker( 'token.json', SCOPES ) #: gegevens vernieuwen of nieuwe inloggegevens aanvragen tenzij credit of niet creds.geldig: als credit en creds.verlopen en creds.refresh_token: credits.verversen(Verzoek()) anders: # OAuth-toestemmingsscherm activeren met opgegeven scopes stroom = GeïnstalleerdeAppStroom.uit_het_bestand_met_clientgeheimen( 'credentials.json', SCOPES ) creds = flow.serve_lokale(poort=0) # Persist-token voor toekomstige uitvoeringen met open('token.json', 'w') als token: token.schrijf(geloofsbrieven.naar_json()) return credit
Gmail OAuth-scopes verklaard - token opgeslagen op schijf

Belangrijk: De toestemming' (Node.js) of serve_lokale Het aanroepen van (Python) zorgt ervoor dat het Google-toestemmingsscherm wordt weergegeven, zelfs als de gebruiker eerder toestemming heeft gegeven. Dit is nodig om betrouwbaar te krijgen vernieuwingstoken. Zonder een vernieuwingstoken verloopt uw toegangstoken na 1 uur en moeten gebruikers opnieuw autoriseren. Zie de voor een complete handleiding voor het vernieuwen van tokens en het opnieuw autoriseren van bereiken. OAuth E-mail API-handleiding en de Unipile Google OAuth-documentatie.

Naleving

Minimum Scope Principe en Naleving

Het principe van minimale reikwijdte is niet zomaar een aanbeveling van Google – het heeft directe invloed op uw GDPR- en SOC 2-compliance. Het aanvragen van excessieve Gmail API-machtigingen creëert onnodige risico's op gegevensblootstelling en bemoeilijkt uw gegevensverwerkingsovereenkomsten met eindgebruikers.

Minst privilege by design

Het principe van minimale reikwijdte weerspiegelt het beveiligingsconcept van het minste privilege. Je Gmail API-integratie moet het volgende aanvragen: laagste-permissie-gmail-api-bereik dat de functie inschakelt. Als uw CRM alleen follow-up e-mails verstuurt, gmail.verzenden is genoeg gmail-aanpassen is excessief en creëert onnodig risico.

Duidelijkheid van het toestemmingsscherm

Google toont je gedeclareerde Gmail API-bereiken rechtstreeks op het toestemmingsscherm. Bredere bereiken activeren alarmerendere taal ("Deze app wil toegang tot je volledige Gmail-inbox"). Minimale Gmail OAuth-bereiken eenvoudigere, minder intimiderende toestemmingsschermen maken – waardoor de conversiepercentages voor autorisatie in OAuth-stromen voor gebruikers doorgaans met 15-30% stijgen.

Bekijk onze stap-voor-stap OAuth-scherm voor toestemming configureren handleiding voor de volledige configuratiehandleiding, inclusief de selectie van het bereik en de keuze tussen intern en extern.

Gegevensverwerkingsdocumentatie

Uw privacybeleid en DPA (Data Processing Agreement) moeten nauwkeurig aangeven welke Gmail-gegevens uw app benadert. Als uw app vraagt om gmail.alleenlezen maar uw privacybeleid vermeldt alleen "e-mails verzenden", u heeft een GDPR-documentatielek. Koppel uw verklaarde Gmail API-bereiken aan uw gepubliceerde gegevenspraktijken.

Scopingsaudit als een terugkerende praktijk

De scopevereisten van de Gmail API evolueren naarmate er functies worden toegevoegd of verwijderd. Voer een scope-audit uit bij elke grote release: verwijder alle Gmail API-machtigingen die uw huidige functie-instelling niet meer nodig heeft. Ongebruikte scopes in uw OAuth-verklaring vormen een aansprakelijkheid voor naleving - ze vertegenwoordigen gegevens toegang die u beweert nodig te hebben, maar niet gebruikt.

GDPR
GDPR-afstemming met Gmail-scopes
Doelbeperking: bereiken moeten overeenkomen met het specifieke doel dat aan gebruikers is verklaard
Minimalisering van gegevens: verzoek gmail.metadata in plaats van gmail.alleenlezen wanneer lichamelijke toegang niet nodig is
Gebruikersrechten: het intrekken van tokens moet de toegang van uw app tot Gmail onmiddellijk verwijderen
Transparantie: de taal op het toestemmingsscherm moet overeenkomen met de gegevens die u daadwerkelijk verwerkt
SOC 2
SOC 2 afstemming met Gmail-bereiken
Toegangsbeheer: documenteer elke Gmail API-scope en de zakelijke rechtvaardiging ervan in uw toegangscontrolebeleid
Logische toegang: scope selectie moet als onderdeel van uw change management proces worden beoordeeld en goedgekeurd
Monitoren: log alle wijzigingen in de Gmail API scopes in uw auditlogboek
Leveranciersbeheer: als u een platform zoals Unipile gebruikt, neem dan hun beveiligingsverklaring op in uw leveranciersbeoordeling

Regelgevingsklare Gmail-integratie. De implementatie van Unipile's Gmail API volgt standaard het principe van minimale reikwijdte - uw app vraagt ​​alleen de gmail oauth-scopes aan die nodig zijn voor de functies die u inschakelt.

Bouw conforme Gmail-apps
Unipile Oplossing

Gmail API Scopes met Unipile: Omzeil de Complexiteit van Scopes

Gmail API-scopes handmatig beheren betekent navigeren door Google's verificatieproces, het omgaan met tokenvernieuwing bij wijzigingen in scopes, en het bijwerken van uw documentatie voor gegevensverwerking telkens wanneer u een functie toevoegt. Unipile abstraheert dit volledig; uw team focust zich op product, niet op permissie-strings.

Gmail Gmail
Outlook Outlook
IMAP IMAP
Vooraf geverifieerde Gmail OAuth

Unipile voert Google's OAuth-verificatie uit voor beperkte Gmail API-scopes. Uw app profiteert hier direct van, zonder dat u een aparte beveiligingsbeoordeling hoeft te voltooien. De jaarlijkse hercertificering wordt afgehandeld door het compliance team van Unipile.

Automatisch tokenbeheer

Unipile beheert OAuth tokenvernieuwing, scopetoetsing en herautorisatieprocessen voor elke gekoppelde account van uw gebruikers. Wanneer Google scopevereisten bijwerkt, past Unipile zich aan zonder uw integratie te onderbreken.

Uniforme API-interfaces over providers heen

Dezelfde Unipile API-aanroepen werken voor Gmail, Outlook en IMAP. U schrijft uw e-mailfunctie één keer en deze werkt in alle providers, geen afzonderlijk beheer van Gmail API-bereiken per provider, geen protocol-specifieke codetakken.

White-label OAuth-optie

Voor teams die hun eigen Google-inloggegevens moeten gebruiken, ondersteunt Unipile white-label OAuth-configuratie. Uw gebruikers zien uw merk op het toestemmingsscherm, terwijl Unipile de scope-declaratie en de levenscyclus van tokens op de achtergrond beheert.

Minimale reikwijdte standaard

De Gmail-integratie van Unipile vraagt alleen de Gmail API-machtigingen aan die nodig zijn voor de functies die u inschakelt. Lezen, verzenden, synchroniseren, elke functionaliteit komt overeen met de meest beperkte scope die mogelijk is, zodat uw complianceprofiel schoon blijft.

Real-time webhooks

Ontvang nieuwe Gmail-berichten zodra ze binnenkomen via Unipile webhooks. Geen polling, geen handmatig beheer van Gmail Pub/Sub-abonnementen. Werkt met dezelfde OAuth-token die uw app al gebruikt voor andere Gmail API-bewerkingen.

Geen veiligheidsbeoordeling vereist
Gmail, Outlook en IMAP in één API
AVG en SOC 2-compatibel
14 dagen gratis proberen, geen creditcard nodig
FAQ

Veelgestelde vragen over Gmail API-bereiken

Veelgestelde vragen over Gmail API scopes, Gmail OAuth scopes en het verificatieproces - beknopt beantwoord voor ontwikkelaars die Gmail-integraties bouwen.

01
Wat zijn Gmail API-bereiken?
Gmail API-bereiken zijn OAuth 2.0-permissiestrings die precies definiëren tot welke Gmail-bronnen uw applicatie namens een gebruiker toegang heeft. Ze worden gedeclareerd bij het genereren van de OAuth-autorisatielink en worden aan de gebruiker getoond op het Google-toestemmingsscherm. Zodra een gebruiker toegang verleent, is uw token beperkt tot alleen de acties die die gmail api-bereiken toestaan - niets meer. Begin met onze Volledige Gmail API-integratie-handleiding.
02
Wat is het verschil tussen gmail.readonly en gmail.modify?
Beide gmail.alleenlezen en gmail-aanpassen zijn beperkte Gmail API-scopes. gmail.alleenlezen biedt alleen-lezen toegang tot alle berichten, threads, labels en instellingen - uw app kan niets verzenden of wijzigen. gmail-aanpassen voegt de mogelijkheid toe om e-mails te lezen, op te stellen, te verzenden en labels te beheren, maar sluit permanent verwijderen van berichten uit. Als uw app moet lezen en verzenden, maar niet verwijderen, gmail-aanpassen is de voorkeur gegeven aan de bredere mail.google.com/ bereik. Zie onze hoe gebruikers-e-mails te lezen via een uniforme API.
03
Heb ik een beveiligingsbeoordeling nodig voor alle Gmail API-bereiken?
Nee. Alleen beperkte Gmail API-bereiken vereisen een jaarlijkse beveiligingsbeoordeling door een externe partij (~1.000 tot 4.500 euro per jaar). Niet-gevoelige onderdelen zoals gmail.labels vereist alleen een standaard beoordeling van OAuth-apps. Gevoelige bereiken zoals gmail.verzenden vereist Google's OAuth-verificatieproces, maar geen beveiligingsbeoordeling. Beperkte scopes - inclusief gmail.alleenlezen, gmail-aanpassen, gmail_opstellen, gmail.metadata, gmail.invoegenen mail.google.com/ - het volledige beoordelingsproces vereisen. Meer hierover in onze veilige e-mail API-patronen voor gereguleerde sectoren.
04
De `gmail.modify`-scope wordt gebruikt om e-mails in Gmail te wijzigen. Dit omvat acties zoals het archiveren, verwijderen, markeren als gelezen of ongelezen, en het toevoegen van labels aan e-mails.
De gmail-aanpassen scope verleent lees-, opstel-, verzend- en labelbeheertoegang tot Gmail, maar sluit de mogelijkheid om berichten permanent te verwijderen uit. Het is de aanbevolen beperkte scope voor e-mailintegraties met volledige functionaliteit zoals CRM e-mail synchronisatie, helpdesktools en e-mailclients die zowel berichten moet kunnen lezen als verzenden. Het heeft de voorkeur boven mail.google.com/ omdat het de blootstelling van gegevens beperkt door de functionaliteit voor permanent verwijderen uit te sluiten. Gerelateerd: e-mail verzenden namens gebruikers.
05
Hoeveel testgebruikers kan ik hebben voordat ik de verificatie van de Gmail API-bereiken voltooi?
Je kunt je app testen met maximaal 100 Google-accounts zolang je OAuth-app zich in de testmodus bevindt, ongeacht de door jou gedeclareerde Gmail API-scopes. Deze testaccounts moeten handmatig worden toegevoegd in de instellingen van het OAuth-instemmingsscherm van de Google Cloud Console. Zodra je 100 gebruikers overschrijdt of publiekelijk wilt vrijgeven, moet je het juiste verificatieproces voltooien voor het gevoeligheidsniveau van je scope.
06
Kan ik meerdere Gmail API-scopes in één OAuth-verzoek combineren?
Ja, je kunt meerdere Gmail API-scopes combineren in een enkele OAuth-autorisatieverzoek door ze als een array door te geven aan de bereik parameter. U kunt bijvoorbeeld aanvragen gmail.verzenden + gmail.labels samen. Het combineren van scopes verhoogt echter de machtigingen die worden weergegeven op het Google-toestemmingsscherm en kan aanvullende verificatievereisten activeren als een gecombineerde scope beperkt is. Vraag altijd alleen de minimale combinatie die uw app echt nodig heeft. Voor de Microsoft-kant, zie Microsoft Graph OAuth bereiken equivalent. Voor testen, controleer onze Hoe Gmail-bereiken te testen in OAuth Playground.
07
Wat is de gmail.metadata scope?
De gmail.metadata scope is een beperkte gmail api scope die toegang verleent tot e-mailkoppen en labels alleen, zonder enige toegang tot de inhoud van de e-mailbody of bijlagen. Het is nuttig voor routeringsengines, categorisatiesystemen of analysehulpprogramma's die e-mails verwerken op basis van afzender, ontvanger, onderwerp of labels zonder de inhoud van privéberichten te lezen. Ondanks de beperking heeft het een kleinere gegevensvoetafdruk dan gmail.alleenlezen en mogelijk gemakkelijker te rechtvaardigen in een beveiligingsbeoordeling. We duiken dieper in onze e-mail synchronisatie API voor volledige inbox synchronisatie.
08
Hoe gaat Unipile om met Gmail API-scopes voor mijn app?
Unipile beheert Gmail API-bereiken intern als onderdeel van zijn gehoste Gmail OAuth-integratie. Wanneer uw gebruikers hun Gmail-accounts via Unipile koppelen, vraagt Unipile de juiste Gmail OAuth-bereiken aan op basis van de functies die u inschakelt, beheert automatisch tokenvernieuwing en behandelt herautorisatie wanneer de vereisten voor bereiken veranderen. Uw team hoeft Gmail API-bereiklijsten niet rechtstreeks te declareren of te beheren - en u profiteert van Unipile's huidige Google-verificatie status van beperkte bereiken. Voor meer informatie hierover, kijk op onze vergelijking van 6 e-mail API-providers. Voor een diepere duik, zie Unipile's Gmail API-oplossing.
09
Wat is gmail.send en wanneer moet ik het gebruiken?
De gmail.verzenden scope is een gevoelige gmail api scope waardoor je app e-mails kan verzenden namens een geauthenticeerde gebruiker, zonder lees- of wijzigingstoegang tot bestaande berichten toe te kennen. Het is de aanbevolen minimale scope voor apps die alleen e-mails verzenden - outreachtools, meldingssystemen of follow-upautomatisering. Gebruikmakend van gmail.verzenden in plaats van gmail-aanpassen vermijdt de beperkte scope beveiligingsbeoordeling volledig, wat uw pad naar productie aanzienlijk versnelt. Zie onze API-handleiding voor het verzenden van e-mails.
10
Hoe beïnvloeden Gmail API-scopes de naleving van de AVG?
Gmail API-scopes hebben direct invloed op je GDPR-houding. De dataminimalisatiebeginsel vereist dat u alleen de Gmail API-machtigingen aanvraagt die noodzakelijk zijn voor uw gestelde doel. Uw privacybeleid moet nauwkeurig weergeven welke Gmail-gegevens u raadpleegt. Het aanvragen van overmatige scopes creëert een gat in de GDPR-documentatie en vergroot de aansprakelijkheid bij datalekken. Wanneer gebruikers de autorisatie intrekken, moet uw app onmiddellijk de toegang tot hun Gmail-gegevens verliezen - dit wordt afgedwongen door de ongeldigmaking van tokens door Google, maar moet ook worden weerspiegeld in uw gegevensverwijderingsprocedures.

Hulp nodig bij het kiezen van de juiste Gmail API-bereiken voor uw gebruikssituatie? Ons team kan uw integratiearchitectuur beoordelen en de minimale set aan scope aanbevelen.

Praat met een expert
nl_NLNL