google 表单原生不支持密码验证或实时准入控制,但可通过 apps script 在提交后自动校验预设验证码,并筛选/归档无效响应,实现“逻辑级访问限制”。本文详解该方案的可靠实现、代码优化与关键注意事项。
Google 表单本身不提供前端密码门禁、Token 验证或白名单账号强制登录等访问控制机制。这意味着你无法在用户点击“提交”前阻止未授权者填写——所有人均可打开链接、作答并触发提交。但好消息是:我们可以通过 Google Apps Script 的 onFormSubmit 触发器,在响应写入关联表格的瞬间完成校验与处置,从而构建一套稳健的“后置准入过滤”流程。
以下是一个经过生产环境验证的优化方案,替代原始代码中存在严重缺陷的 setAcceptingResponses(false) 逻辑(该方法会全局关闭表单,影响所有用户,且无法区分单次非法提交):
✅ 推荐实现:响应后校验 + 自动归档 + 可视化标记
function onFormSubmit(e) {
// 1. 获取提交的验证码(假设为第1题,即索引0;请按实际题目顺序调整)
const response = e.response;
const itemResponses = response.getItemResponses();
if (itemResponses.length === 0) return; // 无答题直接退出
const inputCode = itemResponses[0].getResponse().trim(); // 去除首尾空格,提升容错性
if (!inputCode) return; // 空码跳过处理
// 2. 安全读取白名单验证码(推荐:限定范围 + 缓存优化)
const sheet = SpreadsheetApp.openById('YOUR_SHEET_ID'); // ✅ 替换为你的 Sheet ID(非 URL!)
const codeSheet = sheet.getSheetByName('Codes'); // ✅ 建议使用专用工作表名,避免误读
const codeRange = codeSheet.getRange('A2:A' + codeSheet.getLastRow()); // ✅ 跳过标题行,提升效率
const codes = codeRange.getValues().flat().filter(String); // ✅ 过滤空值,返回纯净字符串数组
// 3. 校验并执行差异化操作
const isValid = codes.includes(inputCode);
if (isValid) {
// 合法响应:不做干预,正常留存(可选:写入标记列如 "Status" = "Approved")
Logger.log(`✅ Valid submission: ${inputCode}`);
} else {
// 非法响应:立即归档至隔离区域(推荐做法,保留审计痕迹)
const targetSheet = sheet.getSheetByName('Invalid_Submissions') || sheet.insertSheet('Invalid_Submissions');
const timestamp = new Date();
const rowData = [timestamp, inputCode, response.getRespondentEmail() || 'Anonymous', response.getEditResponseUrl()];
targetSheet.appendRow(rowData);
// ✅ 关键增强:向提交者发送友好提示邮件(需开启 Gmail 权限)
try {
const email = response.getRespondentEmail();
if (email) {
MailApp.sendEmail({
to: email,
subject: '⚠️ 表单提交未通过验证',
body: `您好,您提交的验证码 "${inputCode}" 不在有效列表中。\n\n如需参与调研,请联系管理员获取正确访问码。`
});
}
} catch (e) {
Logger.warn('Email notification failed:', e.toString());
}
Logger.log(`❌ Rejected submission: ${inputCode}`);
}
}⚠️ 必须注意的关键事项
触发器必须手动绑定:
在脚本编辑器中,点击顶部菜单 编辑 > 当前项目的触发器 → + 添加触发器,选择函数 onFormSubmit,事件类型选 From form > On form submit。仅靠 function checkCodes(e) 命名无法自动生效。使用 openById() 而非 openByUrl():
openByUrl() 在 Apps Script 中已弃用且不稳定;务必从你的 Google Sheet 地址栏复制 /d/ 后的 44 位 ID(例如 https://docs.google.com/spreadsheets/d/abc123.../edit → ID 是 abc123...),并用 openById() 调用。不要关闭表单(setAcceptingResponses(false)):
此操作会阻断所有用户,包括合法用户,且无法回滚。真实场景中应采用“放行 + 分流 + 归档”策略,保障可用性与可追溯性。-
验证码管理建议:
- 将有效码单独存于名为 Codes 的工作表 A 列(A2 起始),首行设为标题(如 Valid_Code);
- 每次发放新码后,刷新表单关联的响应表格缓存(打开表格 → 数据 → 刷新);
- 对敏感场景,可将验证码设为一次性(提交后从 Sheet 中删除),需额外添加 codeRange.clearContent() 逻辑。
? 总结
虽然 Google 表单缺乏原生密码门禁,但借助 onFormSubmit 触发器 + 白名单校验 + 自动归档 + 可选邮件通知,你完全可以构建一套专业、可审计、不影响用户体验的访问控制流程。核心原则是:接受所有提交,但立即识别、分流并反馈非法行为——这比粗暴关闭表单更健壮,也更符合数据治理规范。
