我想允许第三方应用(Zapier)执行Google脚本,并可以访问我组织内的Admin Directory API。为此,我需要允许每个人都具有链接来执行此脚本,该脚本采用参数来在组织内创建新用户。另外,如果有人能够编辑脚本,可能会造成很多伤害。
有人知道如何防止这种情况发生或使整个过程变得安全吗?什么是[[actual潜在威胁?
干杯,如果可能,直接与该服务集成可能会更好。将您的应用程序脚本公开为公共Web应用程序存在很多问题。拥有该Web应用程序URL的任何人都可以向该端点发送垃圾邮件请求,并耗尽整个系统的服务配额。
这不是编程问题。但是,实际上,您将允许匿名用户以只读方式像您一样执行脚本。
还要考虑配额,您也会遇到@Dimu Designs已经指出的问题。
传递参数将无法提供足够的防护以抵御垃圾邮件攻击。只要通过GET或POST请求命中Web应用程序URL,它将计入“触发器总运行时”配额(因为doGet(e)和doPost(e)被视为触发器)以及“同时执行”配额。唯一真正的保护是限制对受信任方的访问。
最后使用Apps脚本执行此操作可能不是路要走。通过Intranet内部执行此操作将是更好的解决方案。但是,如果使用Apps Script来做是您唯一的选择,请当心该过程涉及的风险。