跳到主要内容

OAuth Scope 速查表:Google、GitHub、Microsoft、Slack 等 60+ 条权限一览

OAuth 2.0 权限范围速查,覆盖 Google、GitHub、Microsoft、Slack、Spotify、Discord 等 60+ 条,含访问级别、用途和风险评级。

  • 本地处理
  • 分类 开发运维
  • 适合 格式化、校验、压缩或检查和代码相关的文本。
风险:
69 条 scope

Google

14
openid
权限说明

通过 OpenID Connect 验证用户身份,获取包含 sub(用户 ID)和标准 OIDC claim 的 ID token。

使用场景
  • "用 Google 登录"——基础认证只需要这一个 scope。
  • 联合身份:用 Google 做 IdP,不用自己存密码。
  • 接入自家 app 的单点登录(SSO)。
注意

通常配合 profile 或 email 一起申请;单独申请 openid 只能拿到 sub。

profile
权限说明

读取用户基本信息:姓名、头像 URL、语言区域和 Google 账号 ID。不含邮箱地址。

使用场景
  • 登录后展示用户名和头像。
  • 根据用户语言区域偏好做 UI 本地化。
  • 通过 Google 账号 ID 识别回访用户。
email
权限说明

读取用户的 Google 邮箱地址及其验证状态。

使用场景
  • 用邮箱地址在自家数据库里标记用户账号。
  • 通过自己的 SMTP 发邮件(不是代表 Google 发)。
  • 注册流程中预填邮箱字段。
https://www.googleapis.com/auth/gmail.readonly
需要额外审核
权限说明

读取所有 Gmail 邮件、会话、标签和设置。不能发送、修改或删除任何内容。

使用场景
  • 邮件分析:统计回复次数、衡量响应时间。
  • 解析订单确认邮件,展示购买历史。
  • "清空收件箱"工具,筛出未读或加星邮件。
注意

触发 Google 受限 scope 审核。正式上线前需发布隐私政策并通过安全评估。

https://www.googleapis.com/auth/gmail.send
需要额外审核
权限说明

代替用户发送邮件。不能读取、修改或删除任何邮件。

使用场景
  • 从用户邮箱发送自动回复或确认邮件。
  • 邮件转任务工具——创建任务后从用户邮箱发确认邮件。
  • CRM 通过用户自己的 Gmail 发跟进邮件。
注意

触发 Google 敏感 scope 审核。只需要发邮件时优先用这个,不要申请全量 gmail。

https://www.googleapis.com/auth/gmail.modify
需要额外审核
权限说明

读取、撰写、发送邮件,以及修改邮件(贴标签、标记已读、归档、移入回收站)。不能永久删除。

使用场景
  • 邮件工作流工具——通过贴标签和归档来整理收件箱。
  • 退订工具——把营销邮件移到指定文件夹。
注意

受限 scope,需要 Google 安全评估和完整隐私政策。

https://www.googleapis.com/auth/gmail.labels
权限说明

创建、读取、更新和删除 Gmail 标签。不能读取邮件内容。

使用场景
  • 整理类应用——首次运行时建立文件夹结构。
  • 把工具自己的标签体系同步到 Gmail 标签。
https://www.googleapis.com/auth/calendar.readonly
需要额外审核
权限说明

查看所有 Google Calendar 活动详情、参与者和空闲/忙碌信息。

使用场景
  • 日程助手——建议会议时间时展示已有活动。
  • 时间追踪应用——把日历活动导入作为工作记录。
  • 展示当天日程的 Dashboard 组件。
注意

敏感 scope,触发审核。如果只需要空闲状态,用 calendar.freebusy 就够了。

https://www.googleapis.com/auth/calendar
需要额外审核
权限说明

完整 Google Calendar 权限:创建、读取、更新和删除所有活动和日历。

使用场景
  • 应用任务列表与 Google Calendar 双向同步。
  • 会议排期工具——自动在日历中创建时间块。
注意

受限 scope。如果只管理活动(不动日历元数据),改用 calendar.events。

https://www.googleapis.com/auth/drive.file
权限说明

只能访问应用自己创建的文件,或用户通过 Drive 文件选择器主动用你的应用打开的文件。不能浏览所有 Drive 文件。

使用场景
  • 文档编辑器——把自己的文件保存到 Drive 并打开。
  • 备份应用——在 Drive 里创建文件夹并上传文件。
  • 让用户通过 Drive 文件选择器选取文件的应用。
注意

大多数应用优先用这个而非 drive 或 drive.readonly——不需要额外审核,影响范围也最小。

https://www.googleapis.com/auth/drive.readonly
需要额外审核
权限说明

查看和下载用户 Google Drive 中的所有文件。不能创建、修改或删除。

使用场景
  • AI 助手读取用户文档获取上下文。
  • 文件迁移工具——枚举并下载 Drive 内容。
注意

敏感 scope,触发审核。如果只需要应用自己创建的文件,用 drive.file。

https://www.googleapis.com/auth/drive
需要额外审核
权限说明

完整 Google Drive 权限:创建、修改、删除文件以及管理权限,覆盖所有文件。

使用场景
  • 完整 Drive 管理面板——整理、重命名、移动和删除文件。
  • 团队工具——共享并重新组织整个 Drive 目录结构。
注意

受限 scope,需要 Google 安全评估,有时还需要第三方审计。需要充分说明为什么 drive.file 或 drive.readonly 不够用。

https://www.googleapis.com/auth/spreadsheets.readonly
需要额外审核
权限说明

读取所有电子表格数据、公式、格式和命名区域。

使用场景
  • BI 工具以 Google Sheets 为数据源拉取数据。
  • 无代码应用构建器——以 Sheets 作为后端数据库。
注意

敏感 scope。如果全量只读权限太宽泛,也可以通过 Drive 文件选择器按文件授权。

https://www.googleapis.com/auth/spreadsheets
需要额外审核
权限说明

完整电子表格权限:读取、写入、创建和删除。

使用场景
  • 报告工具——把结果写回追踪用的电子表格。
  • CRM——在 Sheets 数据库和自身之间双向同步联系人数据。
注意

敏感 scope,触发审核。只读数据时优先用 spreadsheets.readonly。

GitHub

14
read:user
权限说明

读取已认证用户的个人资料:姓名、简介、头像、地区、公司、粉丝数。

使用场景
  • GitHub 登录后展示用户头像和名称。
  • 从 GitHub 个人资料预填应用内的资料字段。
user:email
权限说明

读取用户的所有邮箱地址(包括私密邮箱)以及哪个是主邮箱。

使用场景
  • 用 GitHub 已验证邮箱作为数据库中的账号标识。
  • 通过邮箱匹配把 GitHub 账号关联到已有账号。
注意

用户可以在 GitHub 上隐藏邮箱,但这里依然会返回。请当作个人隐私信息处理。

user
权限说明

完整个人资料的读写权限,含邮箱、粉丝、关注和加星仓库。

使用场景
  • 代替用户更新 GitHub 简介或头像的应用。
注意

通常 read:user + user:email 就够,不需要写权限。

public_repo
权限说明

只能读写公开仓库。包含代码、issue、PR 和提交状态。

使用场景
  • 在公开 issue 或 PR 上评论的开源工具。
  • 展示公开仓库的作品集应用。
  • 在公开仓库上设置提交状态的 CI 集成。
repo
权限说明

所有仓库(含私有)的完整读写权限:代码、issue、PR、Wiki、部署和设置。

使用场景
  • 需要私有仓库访问权的开发工具,如 IDE 和代码审查应用。
  • 推送代码和更新部署状态的发布流水线。
  • 完整的 GitHub 客户端或镜像工具。
注意

这是 GitHub 最宽泛的 scope,用户有时会因此警觉。能用 repo:status 或 public_repo 就别用 repo。GitHub Apps 可以用更细粒度的权限代替。

repo:status
权限说明

读写公开和私有仓库的提交状态。CI/CD 系统所需的最小权限。

使用场景
  • CI/CD 流水线在构建完成后更新提交的 ✅/❌ 状态。
  • 代码质量机器人标记提交通过或失败。
workflow
权限说明

添加和更新 GitHub Actions 工作流文件(.github/workflows/*.yml)。

使用场景
  • 为新项目生成 CI 流水线脚手架的工具。
  • 修改工作流配置的自动化平台。
注意

允许在 GitHub 基础设施上执行代码。需谨慎授权——只给完全信任的应用。

notifications
权限说明

读取和处理通知:标记为已读或取消订阅会话。

使用场景
  • GitHub 通知管理面板和分类工具。
  • 展示未读 review 请求的移动端应用。
gist
权限说明

代替用户创建和编辑 Gist。

使用场景
  • 代码片段分享工具——直接保存到 GitHub Gist。
  • 以 Gist 为后端的代码分享应用。
delete_repo
权限说明

删除用户有管理员权限的仓库。

使用场景
  • 归档并删除废弃仓库的清理脚本。
注意

不可撤销。只有核心功能确实需要删除仓库时才申请。绝不要把这个设为默认 scope。

read:org
权限说明

读取组织和团队成员信息,以及组织项目看板信息。

使用场景
  • 检查用户是否属于某 GitHub 组织以做访问控制的工具。
  • 展示组织成员情况的团队看板。
admin:org
权限说明

组织和团队的完整管理权限:创建、更新、删除成员和团队,管理组织设置。

使用场景
  • 把员工目录同步到 GitHub 组织成员的 HR 工具。
  • 将新员工自动加入对应团队的入职自动化工具。
注意

仅组织 owner 可授权。可以添加/移除所有成员。

read:packages
权限说明

从 GitHub Package Registry 下载包。

使用场景
  • CI 流水线从 GPR 安装私有 npm 或 Docker 包。
write:packages
权限说明

向 GitHub Package Registry 发布包。

使用场景
  • CI 流水线在发版时把 npm、Docker 或 Maven 包发布到 GPR。

Microsoft

10
openid
权限说明

颁发 OpenID Connect 登录用的 ID token,包含 oid(用户对象 ID)等 OIDC claim。

使用场景
  • 网页或移动应用通过 Microsoft/Azure AD 登录。
  • 以 Azure AD 为身份提供商的 SSO。
User.Read
权限说明

登录并读取当前用户的个人资料:显示名称、职位、邮箱、头像。

使用场景
  • 登录后展示用户名和头像。
  • 用 Graph 数据填充员工名录条目。
offline_access
权限说明

获取 refresh token,让应用在用户不在线时也能保持访问。

使用场景
  • 在夜间无用户交互时运行的后台同步任务。
  • 任何需要超过 1 小时 access token 有效期的应用。
注意

只要需要 refresh token 就得带上这个,配合其他 scope 一起申请。

Mail.Read
权限说明

读取用户邮箱中的所有邮件,含附件和元数据。

使用场景
  • 邮件分析和报告看板。
  • 索引邮件附件的文档管理工具。
注意

委托权限:代表已登录用户操作。应用权限版本(无用户参与的 Mail.Read)需要管理员同意。

Mail.Send
权限说明

以已登录用户身份或代表该用户发送邮件。

使用场景
  • 从用户 Outlook 邮箱发自动跟进邮件的应用。
  • CRM 通过销售人员自己的邮箱发销售邮件。
Calendars.Read
权限说明

读取用户的日历活动和会议详情。

使用场景
  • 排期工具通过读取已有活动避免重复预约。
  • 自动记录会议时间的时间追踪工具。
Calendars.ReadWrite
权限说明

创建、读取、更新和删除日历活动。

使用场景
  • 会议排期应用——写入日历时间块。
  • 应用与 Outlook 日历之间的双向同步。
Files.Read.All
权限说明

读取已登录用户在 OneDrive 和 SharePoint 中能访问的所有文件。

使用场景
  • 索引 OneDrive 内容的搜索和发现工具。
  • 读取所有文件做分析的文档 AI 工具。
Files.ReadWrite.All
权限说明

完整访问用户可访问的所有文件:读、写、创建、删除。

使用场景
  • 管理 OneDrive/SharePoint 内容的文件管理面板。
注意

只管理应用自身文件时优先用 Files.ReadWrite,或者用 Files.ReadWrite.AppFolder 限定在沙箱应用文件夹内。

Directory.Read.All
需要额外审核
权限说明

读取 Azure AD 租户中的所有目录数据:用户、组、设备、应用。

使用场景
  • 列出所有用户和组成员的 IT 管理工具。
  • 审计 AAD 配置的安全工具。
注意

需要租户管理员同意——普通用户无法授权。不适合面向消费者的应用。

Slack

7
channels:read
权限说明

查看工作区中公开频道的基本信息。

使用场景
  • 机器人列出可用频道让用户选择要发布的地方。
  • 展示工作区频道结构的看板。
chat:write
权限说明

以应用身份(不是用户身份)发送消息。是发布机器人消息的标准 scope。

使用场景
  • 在部署、告警或事件时向频道发通知的机器人。
  • 每天在频道里提问的站会机器人。
  • 把摘要或报告发到 Slack 的集成。
channels:write
权限说明

创建、归档和重命名公开频道,以及管理频道成员。

使用场景
  • 为每个项目创建对应 Slack 频道的项目管理工具。
files:read
权限说明

查看应用可访问的频道和对话中分享的文件。

使用场景
  • 索引 Slack 中分享文件的文档搜索工具。
users:read
权限说明

查看工作区成员的基本信息:显示名称、时区、状态。不含邮箱。

使用场景
  • 按名称标记或 @ 提及工作区成员的应用。
  • 检查成员时区的排期工具。
users:read.email
权限说明

查看工作区成员的邮箱地址。需要先有 users:read 权限。

使用场景
  • CRM 通过邮箱把 Slack 用户和联系人记录对应起来。
  • SSO 工具把 Slack 账号关联到内部目录。
注意

用户邮箱是个人隐私数据。Slack 工作区管理员可能会限制此 scope。

team:read
权限说明

查看工作区名称、图标、域名和邮箱域。

使用场景
  • 在界面中展示工作区品牌的多工作区应用。

Spotify

7
user-read-email
权限说明

读取用户在 Spotify 账号上注册的邮箱地址。

使用场景
  • 作为账号标识符,或用于发送事务性邮件。
user-read-private
权限说明

读取用户的订阅级别(免费/Premium)、国家和产品类型。

使用场景
  • 仅对 Spotify Premium 用户开放高级功能的功能门控。
playlist-read-private
权限说明

读取用户创建或订阅的私密和协作播放列表。

使用场景
  • 展示用户所有播放列表(含私密列表)的音乐应用。
playlist-modify-public
权限说明

代替用户创建和编辑公开播放列表。

使用场景
  • 根据推荐添加歌曲的协作播放列表工具。
  • 根据演唱会歌单创建播放列表的应用。
playlist-modify-private
权限说明

创建和编辑私密播放列表。

使用场景
  • 根据心情或活动生成并保存为私密列表的工具。
user-library-read
权限说明

读取用户收藏的歌曲和专辑("我的音乐")。

使用场景
  • 展示用户音乐库的音乐统计应用。
user-top-read
权限说明

读取用户在不同时间范围内的最常听艺人和歌曲。

使用场景
  • 音乐个性和品味分析应用。
  • "年度回顾"类工具(自制版 Spotify Wrapped)。

Twitter / X

7
tweet.read
权限说明

读取已认证用户和其他用户的推文、时间线和公开对话数据。

使用场景
  • 拉取 @ 提及和回复的社交媒体看板。
  • 消费公开推文流的情感分析工具。
tweet.write
权限说明

代替用户创建、删除和隐藏推文及回复。

使用场景
  • 按计划发布推文的社交媒体排期工具。
  • 删除并重新发布整理后推文的 Thread 管理工具。
users.read
权限说明

读取用户的公开资料信息:姓名、简介、粉丝/关注数量。

使用场景
  • 资料丰富——把社交上下文拉入 CRM。
follows.read
权限说明

读取用户的粉丝和关注列表。

使用场景
  • 展示谁在关注你、你在关注谁的受众分析工具。
offline.access
权限说明

获取 refresh token,无需用户重新授权即可保持访问。

使用场景
  • 在用户离线时需要操作的定时发布工具。
like.read
权限说明

读取用户点赞过的推文。

使用场景
  • 将点赞推文加入书签的稍后阅读工具。
like.write
权限说明

代替用户点赞或取消点赞推文。

使用场景
  • 互动自动化工具(请符合伦理规范和 Twitter API 使用条款)。

Discord

5
identify
权限说明

读取用户的 Discord 用户名、鉴别符、头像和用户 ID。不含邮箱。

使用场景
  • Discord 登录——认证后展示用户名和头像。
  • 把 Discord 账号关联到你的平台,不需要存密码。
email
权限说明

读取与用户 Discord 账号关联的邮箱地址。

使用场景
  • 作为账号标识符,或与数据库中的已有账号匹配。
guilds
权限说明

列出用户所在的服务器及其角色。

使用场景
  • 以服务器成员资格做功能门控——"必须加入 XYZ 服务器才能访问"。
  • 展示用户所属社区的看板。
guilds.join
权限说明

无需用户点击邀请链接即可将其加入服务器。

使用场景
  • 自动将新客户加入支持服务器的引导流程。
注意

同一请求里需要 bot token。用户被静默加入——请在界面上明确告知用户。

bot
权限说明

将机器人以 OAuth URL 中指定的权限加入服务器。

使用场景
  • 用户直接安装到服务器的斜杠命令机器人。
  • 通过 OAuth 服务器授权安装的管理机器人。
注意

机器人的权限独立于此 scope——在 OAuth URL 里用 permissions 位掩码指定。

LinkedIn

3
r_liteprofile
权限说明

读取会员的姓名、职位摘要、头像和个性化 URL。

使用场景
  • LinkedIn 登录——填充用户名和头像。
  • 导入个人资料数据直接创建账号,免填注册表单。
r_emailaddress
权限说明

读取会员在 LinkedIn 注册的主邮箱地址。

使用场景
  • 用邮箱作为账号关联的唯一标识符。
w_member_social
权限说明

代替会员在 LinkedIn 上创建、编辑和删除帖子、评论和点赞。

使用场景
  • 按计划在 LinkedIn 发内容的社交媒体排期工具。
  • 自动评论公司帖子的内容扩散工具。

Stripe

2
read_only
权限说明

关联 Stripe 账号的只读权限:查看收费、客户、产品和提款记录。

使用场景
  • 展示收入和提款数据的财务看板。
  • 审计关联账号订阅指标的分析工具。
注意

Stripe Connect:用户授权的是他们自己的 Stripe 账号,不是你的。除非功能明确需要创建或修改数据,否则用 read_only。

read_write
需要额外审核
权限说明

关联 Stripe 账号的完整读写权限:创建收费、发起退款、管理订阅。

使用场景
  • 代替关联商家创建收费的支付平台。
  • 管理订阅和发起退款的账单工具。
注意

授予对用户 Stripe 账号的完整控制权,包括退款和修改提款设置。需要在 Stripe 应用审核中详细说明理由。

这个工具能做什么

可搜索的 OAuth 2.0 scope 速查表,覆盖 Google(Gmail、 Drive、Calendar、Sheets)、GitHub、Microsoft Graph API、 Slack、Spotify、Twitter/X、Discord、LinkedIn 和 Stripe 共 60+ 条权限。每条包含:直接可复制的 scope 字符串、 人话描述(这个权限能干什么)、2-3 个真实用途、风险 评级(低 / 中 / 高)、审核注意事项和安全陷阱。支持 按服务商或风险级别筛选,搜索可命中 scope 字符串和 描述文字,一键复制任意 scope。为做 OAuth 集成的开发者 设计,帮你找到够用的最小权限,避免申请太宽泛的 scope 导致上架审核卡关或引起用户警觉。完全本地运行, 不埋点。

工具细节

输入
文本
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
浏览器本地处理
主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
保存 / 分享
免账号使用
打开页面即可使用;刷新后是否保留结果取决于具体工具。
性能预算
首屏 JS ≤ 65 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
开发运维 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

OAuth Scope 速查表 适合怎么用

适合穿插在写代码、查问题、做 Review、上线前的小任务里。

适合开发场景

  • 格式化、校验、压缩或检查和代码相关的文本。
  • 把片段整理好再放进文档、工单、提交或交接材料。
  • 不切换工具,快速检查一个小 payload。

开发检查项

  • 压缩、混淆这类不可逆处理,先对副本操作。
  • 除非确认工具本地处理,不要粘贴密钥和敏感片段。
  • 转换后的代码上线前,仍要跑自己的测试或 lint。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 JWT 解码器 解码 JWT 的 Header / Payload / Signature,看声明、查过期、复制字段,全程浏览器本地 打开
  2. 2 HTTP 状态码查询 HTTP 状态码查询,70+ 个全收录,带含义、常见原因、真实场景、怎么排查。 打开
  3. 3 DNS 记录解释器 DNS 记录解释器,18 种常见记录(A/AAAA/CNAME/MX/TXT/SRV...)含语法、真实例子、常见坑。 打开

真实使用场景

  • 为文档管理应用集成 Google Sign-In 和 Drive API

    你在做一个让用户导入 Google Drive 文档的工具。查速查表发现 drive.file 只能访问应用自己创建或打开的文件,而 drive 是 完整 Drive 权限。你选了 drive.file + drive.readonly 做最小 化组合,绕开了 drive 触发的人工审核。授权弹窗权限聚焦, Google 验证两周通过,而不是拖两个月。

  • 搭建一个在 Pull Request 上评论的 GitHub 机器人

    你的 CI 机器人需要发代码审查评论。速查表里 repo 是高风险 (完整私有仓库控制),public_repo 够开源场景评论用。最后 决定用 GitHub App 的 pull_requests:write 权限代替 OAuth scope, 但速查表的对比帮你把这个决策的取舍想清楚了。

常见踩坑

  • 只需要发邮件却申请 gmail 全量权限(含删除邮件)。gmail.send 可以绕开敏感 scope 的人工审核,用户看到的授权范围也更小。

  • 只读集成却申请 GitHub 的 repo scope。公开仓库用 public_repo,或者 repo:status 等细粒度 scope,因为 repo 会授予所有私有仓库的写入和删除权限。

  • 在 scope= 参数里用逗号连接多个 scope。OAuth 2.0 规范要求用空格分隔。很多服务商会把带逗号的 scope 当作一个畸形字符串悄悄处理失败。

隐私说明

所有数据都随页面打包好了。搜索、筛选、复制 scope 不会向任何服务器发请求。 没有 API 调用,不埋点,不记日志。Scope 字符串和描述都是静态参考数据。

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

Made by Toolora · 100% client-side · Updated 2026-07-01