Khi đã sẵn sàng triển khai giải pháp đã triển khai ngoài môi trường phát triển cho người dùng ứng dụng, bạn có thể cần thực hiện thêm các bước để tuân thủ Chính sách về OAuth 2.0 của Google. Trong hướng dẫn này, chúng tôi trình bày cách tuân thủ các vấn đề mà nhà phát triển thường gặp nhất khi chuẩn bị phát hành công khai ứng dụng. Điều này giúp bạn tiếp cận nhiều đối tượng nhất có thể với ít lỗi.
- Sử dụng các dự án riêng biệt để kiểm thử và sản xuất
- Duy trì danh sách người liên hệ có liên quan cho dự án
- Trình bày chính xác danh tính của bạn
- Chỉ yêu cầu những phạm vi bạn cần
- Gửi ứng dụng chính thức có sử dụng phạm vi nhạy cảm hoặc bị hạn chế để xác minh
- Chỉ sử dụng các miền mà bạn sở hữu
- Lưu trữ trang chủ cho các ứng dụng phát hành công khai
- Sử dụng URI chuyển hướng an toàn và nguồn gốc JavaScript
Sử dụng các dự án riêng biệt để kiểm thử và sản xuất
Chính sách OAuth của Google yêu cầu các dự án riêng cho mục đích thử nghiệm và sản xuất. Một số chính sách và yêu cầu chỉ áp dụng cho ứng dụng phát hành công khai. Bạn có thể cần phải tạo và định cấu hình một dự án riêng biệt bao gồm các ứng dụng OAuth tương ứng với phiên bản phát hành công khai của ứng dụng mà mọi Tài khoản Google đều có thể sử dụng.
Các ứng dụng OAuth của Google được dùng trong phiên bản chính thức giúp cung cấp một môi trường lưu trữ và thu thập dữ liệu ổn định, dễ dự đoán và an toàn hơn so với các ứng dụng OAuth tương tự giúp kiểm tra hoặc gỡ lỗi cùng một ứng dụng. Dự án chính thức của bạn có thể gửi đi để xác minh nên phải tuân thủ các yêu cầu bổ sung đối với các phạm vi API cụ thể, có thể bao gồm cả các hoạt động đánh giá bảo mật của bên thứ ba.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Xem xét những ứng dụng OAuth trong dự án này có thể được liên kết với cấp kiểm thử của bạn. Nếu có thể, hãy tạo các ứng dụng OAuth tương tự cho các ứng dụng chính thức trong dự án phát hành chính thức của bạn.
- Bật bất kỳ API nào mà khách hàng của bạn sử dụng.
- Xem lại cấu hình Màn hình đồng ý OAuth trong dự án mới.
Ứng dụng OAuth của Google được sử dụng trong phiên bản chính thức không được chứa môi trường thử nghiệm, URI chuyển hướng hoặc nguồn gốc JavaScript mà chỉ bạn hoặc nhóm phát triển của bạn có thể sử dụng. Sau đây là một số ví dụ:
- Máy chủ kiểm thử của từng nhà phát triển
- Thử nghiệm hoặc phát hành phiên bản trước của ứng dụng
Duy trì danh sách người liên hệ có liên quan cho dự án
Google và từng API mà bạn bật có thể cần liên hệ với bạn về các thay đổi đối với dịch vụ hoặc các cấu hình mới cần thiết cho dự án và ứng dụng của bạn. Hãy kiểm tra danh sách IAM của dự án để đảm bảo những người liên quan trong nhóm của bạn có quyền chỉnh sửa hoặc xem cấu hình dự án. Các tài khoản này cũng có thể nhận được email về những thay đổi bắt buộc đối với dự án của bạn.
Vai trò chứa một tập hợp các quyền cho phép bạn thực hiện các thao tác cụ thể trên tài nguyên dự án. Người chỉnh sửa dự án có quyền thực hiện các thao tác sửa đổi trạng thái, chẳng hạn như khả năng thay đổi màn hình xin phép bằng OAuth của dự án. Những chủ sở hữu dự án có mọi quyền chỉnh sửa có thể thêm hoặc xoá tài khoản liên kết với dự án hoặc xoá dự án. Chủ sở hữu dự án cũng có thể cung cấp bối cảnh về lý do thiết lập thông tin thanh toán. Chủ sở hữu dự án có thể thiết lập thông tin thanh toán cho dự án sử dụng API có tính phí.
Chủ sở hữu và người chỉnh sửa dự án phải luôn là thông tin mới nhất. Bạn có thể thêm nhiều tài khoản có liên quan vào dự án của mình để đảm bảo tiếp tục truy cập vào dự án và bảo trì liên quan. Chúng tôi gửi email đến các tài khoản đó khi có thông báo về dự án của bạn hoặc thông tin cập nhật về các dịch vụ của chúng tôi. Quản trị viên tổ chức trên Google Cloud phải đảm bảo rằng mọi dự án trong tổ chức của họ đều có một người liên hệ có thể tiếp cận. Nếu chúng tôi không có thông tin liên hệ mới nhất cho dự án của bạn, có thể bạn sẽ bỏ lỡ một số thông báo quan trọng mà bạn cần phải hành động.
Trình bày chính xác danh tính của bạn
Cung cấp tên ứng dụng hợp lệ và một biểu trưng để người dùng nhìn thấy (không bắt buộc). Thông tin về thương hiệu này phải thể hiện chính xác danh tính của ứng dụng của bạn. Thông tin xây dựng thương hiệu của ứng dụng được định cấu hình từ OAuth Consent Screen page.
Đối với các ứng dụng chính thức, thông tin thương hiệu được xác định trong màn hình xin phép bằng OAuth phải được xác minh trước khi hiển thị với người dùng. Người dùng có nhiều khả năng sẽ cấp quyền truy cập cho ứng dụng của bạn sau khi ứng dụng hoàn tất quy trình xác minh thương hiệu. Thông tin cơ bản về ứng dụng, trong đó có tên ứng dụng, trang chủ, điều khoản dịch vụ và chính sách quyền riêng tư, sẽ được hiển thị cho người dùng trên màn hình tài trợ, khi họ xem lại các khoản tài trợ hiện có hoặc khi quản trị viên Google Workspace đánh giá mức sử dụng ứng dụng của tổ chức của họ.
Google có thể thu hồi hoặc tạm ngưng quyền truy cập vào Dịch vụ API của Google cũng như các sản phẩm và dịch vụ khác của Google đối với những ứng dụng xuyên tạc danh tính hoặc tìm cách đánh lừa người dùng.
Chỉ yêu cầu những phạm vi bạn cần
Trong quá trình phát triển ứng dụng, có thể bạn đã sử dụng một phạm vi mẫu do API cung cấp để tạo bằng chứng về ý tưởng trong ứng dụng nhằm tìm hiểu thêm về các tính năng và chức năng của API. Các phạm vi mẫu như vậy thường yêu cầu nhiều thông tin hơn so với hoạt động triển khai cuối cùng mà ứng dụng của bạn cần, vì chúng cung cấp thông tin toàn diện về mọi hành động có thể thực hiện cho một API cụ thể. Ví dụ: phạm vi ví dụ có thể yêu cầu quyền đọc, ghi và xoá trong khi ứng dụng của bạn chỉ yêu cầu quyền đọc. Yêu cầu các quyền liên quan (giới hạn ở những thông tin quan trọng cần thiết để triển khai ứng dụng).
Xem tài liệu tham khảo cho các điểm cuối API mà ứng dụng của bạn gọi và lưu ý về các phạm vi mà các điểm cuối đó yêu cầu để truy cập vào dữ liệu liên quan mà ứng dụng của bạn cần. Hãy xem lại mọi hướng dẫn uỷ quyền mà API cung cấp và mô tả chi tiết hơn về phạm vi của các hướng dẫn đó để đưa ra cách sử dụng phổ biến nhất. Chọn mức truy cập dữ liệu tối thiểu nhất mà ứng dụng của bạn cần để hỗ trợ các tính năng liên quan.
Để biết thêm thông tin về yêu cầu này, hãy đọc phần Chỉ yêu cầu những phạm vi mà bạn cần trong Chính sách OAuth 2.0, cùng với phần Yêu cầu quyền có liên quan trong Chính sách dữ liệu người dùng của các dịch vụ API của Google.
Gửi ứng dụng phát hành công khai sử dụng phạm vi nhạy cảm hoặc bị hạn chế để xác minh
Một số phạm vi nhất định được phân loại là "nhạy cảm" hoặc "bị hạn chế" và không dùng được trong ứng dụng phát hành công khai khi chưa được xem xét. Nhập tất cả phạm vi mà ứng dụng chính thức của bạn dùng trong cấu hình Màn hình đồng ý OAuth. Nếu ứng dụng chính thức của bạn sử dụng các phạm vi nhạy cảm hoặc bị hạn chế, bạn phải gửi thông tin sử dụng các phạm vi đó để xác minh trước khi đưa các phạm vi đó vào yêu cầu uỷ quyền.
Chỉ sử dụng các miền mà bạn sở hữu
Quy trình xác minh màn hình xin phép bằng OAuth của Google yêu cầu xác minh tất cả các miền liên kết với trang chủ, chính sách quyền riêng tư, điều khoản dịch vụ, URI chuyển hướng được uỷ quyền hoặc các nguồn gốc JavaScript được uỷ quyền của dự án. Xem lại danh sách các miền mà ứng dụng của bạn đang sử dụng, được tóm tắt trong mục Miền được ủy quyền của trình chỉnh sửa màn hình đồng ý OAuth và xác định mọi miền mà bạn không sở hữu và do đó sẽ không thể xác minh. Để xác minh quyền sở hữu đối với các miền được uỷ quyền của dự án, hãy sử dụng Google Search Console. Hãy sử dụng Tài khoản Google liên kết với dự án API Console của bạn với vai trò là Chủ sở hữu hoặc Người chỉnh sửa.
Nếu dự án của bạn sử dụng nhà cung cấp dịch vụ có miền chung, bạn nên bật những cấu hình cho phép sử dụng miền riêng của bạn. Một số nhà cung cấp dịch vụ liên kết các dịch vụ của họ với miền con của miền mà bạn đã sở hữu.
Lưu trữ trang chủ cho các ứng dụng phát hành công khai
Mọi ứng dụng chính thức sử dụng OAuth 2.0 đều phải có trang chủ có thể truy cập công khai. Người dùng tiềm năng của ứng dụng có thể truy cập vào trang chủ để tìm hiểu thêm về các tính năng và chức năng mà ứng dụng cung cấp. Người dùng hiện tại có thể xem lại danh sách các khoản tài trợ hiện có và truy cập vào trang chủ của ứng dụng như lời nhắc về việc tiếp tục sử dụng ưu đãi của bạn.
Trang chủ của ứng dụng phải bao gồm nội dung mô tả về chức năng của ứng dụng cũng như các đường liên kết đến chính sách quyền riêng tư và điều khoản dịch vụ không bắt buộc. Trang chủ phải tồn tại trên một miền đã xác minh thuộc quyền sở hữu của bạn.
Dùng URI chuyển hướng an toàn và nguồn gốc JavaScript
Ứng dụng OAuth 2.0 dành cho ứng dụng web phải bảo mật dữ liệu bằng cách dùng URI chuyển hướng HTTPS và nguồn gốc JavaScript, chứ không phải HTTP thuần tuý. Google có thể từ chối các yêu cầu OAuth không xuất phát từ hoặc không phân giải trong ngữ cảnh bảo mật.
Cân nhắc xem những ứng dụng và tập lệnh bên thứ ba nào có thể có quyền truy cập vào mã thông báo và thông tin xác thực khác của người dùng trả về trang của bạn. Hạn chế quyền truy cập vào dữ liệu nhạy cảm bằng các vị trí URI chuyển hướng chỉ được dùng cho việc xác minh và lưu trữ dữ liệu mã thông báo.
Các bước tiếp theo
Sau khi bạn đảm bảo rằng ứng dụng của mình tuân thủ các chính sách về OAuth 2.0 trên trang này, hãy xem bài viết Gửi để xác minh thương hiệu để biết thông tin chi tiết về quy trình xác minh.