OAuth 用戶端驗證

如果 Google OAuth 用戶端要求特定機密 OAuth 範圍,則需要經過 Google 驗證。

如果您未驗證指令碼專案的 OAuth 用戶端,則網域外的使用者嘗試授權指令碼時,就會看到「未經驗證的應用程式」畫面。未經驗證的授權流程可允許這些使用者授權並使用未經驗證的應用程式,但前提是他們必須先確認瞭解風險。此外,未驗證應用程式的使用者總數也會受到限制。

如需詳細資訊,請參閱下列文章:

 

未經驗證的應用程式畫面
圖 1:未驗證的應用程式畫面
未經驗證的應用程式授權流程
圖 2:未經驗證的應用程式授權流程

 

這項變更適用於 Google OAuth 網路用戶端,包括所有 Apps Script 專案使用的用戶端。只要向 Google 驗證應用程式,即可從授權流程中移除未經驗證的應用程式畫面,讓使用者確信您的應用程式不是惡意的應用程式。

未經驗證的應用程式

外掛程式、網頁應用程式和其他部署作業 (例如使用 Apps Script API 的應用程式) 可能需要驗證。

適用性

如果應用程式使用機密 OAuth 範圍,驗證流程中可能會顯示未經驗證的應用程式畫面。是否存在 (以及系統產生的未經驗證應用程式授權流程),取決於應用程式發布來源的帳戶和嘗試使用應用程式的帳戶。舉例來說,如果在特定 Google Workspace 機構中發布應用程式,即使帳戶尚未完成驗證,也不會對該網域的帳戶進行未經驗證的應用程式授權流程。

下表說明發生未經驗證的應用程式授權流程的情況:

客戶已通過驗證 發布者是客戶 A 的 Google Workspace 帳戶 指令碼位於客戶 A 的共用雲端硬碟中 發布者是 Gmail 帳戶
使用者是客戶 A 的 Google Workspace 帳戶 一般驗證流程 一般驗證流程 一般驗證流程 未驗證的驗證流程
使用者是「非」客戶 A 的 Google Workspace 帳戶 一般驗證流程 未驗證的驗證流程 未驗證的驗證流程 未驗證的驗證流程
使用者是 Gmail 帳戶1 一般驗證流程 未驗證的驗證流程 未驗證的驗證流程 未驗證的驗證流程

1任何 Gmail 帳戶,包括用來發布應用程式的帳戶。

使用者人數上限

能夠透過未經驗證的應用程式流程授權應用程式的使用者人數設有上限,以限制可能的濫用行為。詳情請參閱 OAuth 應用程式使用者限制

正在要求驗證

您可以要求驗證應用程式使用的 OAuth 用戶端,以及相關聯的 Cloud Platform (GCP) 專案。應用程式通過驗證後,使用者就不會再看到未經驗證的應用程式畫面。此外,您的應用程式將不再受到使用者人數上限限制。

需求條件

如要提交 OAuth 用戶端進行驗證,您必須符合下列規定:

  1. 你必須擁有自有網域的網站。網站必須代管可供公開存取的網頁,說明您的應用程式及其隱私權政策。此外,您也必須向 Google 驗證網站擁有權

  2. 指令碼專案使用的 Google Cloud 專案必須是您具備編輯權限的標準 Google Cloud 專案。如果您的指令碼使用預設 Google Cloud 專案,您必須切換至標準 Google Cloud 專案

此外,您必須具備下列必要素材資源:

  • 應用程式名稱:應用程式名稱;這項資訊會顯示在同意畫面上。必須與在其他位置中的該應用程式使用的名稱相符,例如 Google Workspace Marketplace 中已發布應用程式的清單。
  • 應用程式標誌。要在同意畫面中使用的應用程式標誌 JPEG、PNG 或 BMP 圖片。檔案大小不得超過 1 MB。
  • 支援電子郵件:這是同意畫面顯示的電子郵件,如果使用者需要應用程式支援,可以洽詢這項資訊。可以是您的電子郵件地址或您擁有或管理的 Google 群組
  • 範圍:應用程式使用的所有範圍清單。您可以在 Apps Script 編輯器中查看範圍
  • 授權網域:這個清單是含有應用程式相關資訊的網域清單。應用程式的所有連結 (例如必要的隱私權政策頁面) 都必須託管於授權網域。
  • 應用程式首頁網址。說明應用程式首頁的位置。這個位置必須託管於授權網域。
  • 應用程式隱私權政策網址:說明應用程式隱私權政策的頁面位置。這個位置必須託管於授權網域。

除了上述所需的資產外,您也可以選擇提供應用程式服務條款網址,指向描述應用程式服務條款的頁面。如有提供,此位置必須位於授權網域中。

步驟

  1. 如果您尚未驗證所有授權網域的擁有權,請將該網域用於託管指令碼專案的隱私權政策和其他資訊。網域通過驗證的擁有者必須是指令碼專案的編輯者或擁有者。
  2. 在 Apps Script 專案中,按一下「Overview」。在「專案 OAuth 範圍」下方,複製指令碼專案使用的範圍。

  3. 使用您收集的文字和網址資產,完成應用程式 Google Cloud 專案的 OAuth 同意畫面

    1. 列出託管應用程式資訊 (例如隱私權政策) 的授權網域

    2. 如要新增應用程式範圍,請按一下「新增或移除範圍」。產生的對話方塊會嘗試針對您在 Google Cloud 控制台啟用的 API (例如進階服務) 自動偵測範圍。您可以勾選對應的方塊,從這份清單中選取範圍。

      這份自動偵測的清單不一定包含 Apps Script 內建服務使用的範圍。您必須在「手動新增範圍」底下輸入這些範圍。

      完成後,按一下「更新」。

  4. 輸入所有必要資訊後,按一下「儲存」

  5. 按一下「送交驗證」,即可啟動驗證要求。

大多數驗證要求會在 24 至 72 小時內收到回覆。您可以查看 OAuth 同意畫面表單頂端的驗證狀態。驗證 OAuth 用戶端時,應用程式就會通過驗證。