Wenn Sie bereit sind, Ihre implementierte Lösung außerhalb der Entwicklungsumgebung für die Nutzer Ihrer Anwendung bereitzustellen, müssen Sie möglicherweise zusätzliche Schritte ausführen, um die OAuth 2.0-Richtlinien von Google einzuhalten. In diesem Leitfaden wird beschrieben, wie Sie die häufigsten Entwicklerprobleme bei der Vorbereitung Ihrer App für die Produktion beheben. So erreichen Sie die größtmögliche Zielgruppe mit möglichst wenigen Fehlern.
- Verwenden Sie separate Projekte für Tests und die Produktion.
- Eine Liste relevanter Kontakte für das Projekt pflegen
- Geben Sie Ihre Identität korrekt an.
- Nur benötigte Bereiche anfordern
- Produktionsanwendungen zur Prüfung einreichen, die vertrauliche oder eingeschränkte Bereiche verwenden
- Nur Domains verwenden, die Ihnen gehören
- Startseite für Produktions-Apps hosten
- Sichere Weiterleitungs-URIs und JavaScript-Quellen verwenden
Separate Projekte für Tests und Produktion verwenden
Die OAuth-Richtlinien von Google erfordern separate Projekte für Tests und die Produktion. Einige Richtlinien und Anforderungen gelten nur für Produktionsanwendungen. Möglicherweise müssen Sie ein separates Projekt mit OAuth-Clients erstellen und konfigurieren, die der Produktionsversion Ihrer Anwendung entsprechen, die für alle Google-Konten verfügbar ist.
Google OAuth-Clients, die in der Produktion verwendet werden, bieten eine stabilere, vorhersehbarere und sicherere Umgebung zur Datenerfassung und -speicherung als ähnliche OAuth-Clients, die dieselbe Anwendung testen oder debuggen. Ihr Produktionsprojekt kann zur Prüfung eingereicht werden und unterliegt daher zusätzlichen Anforderungen für bestimmte API-Bereiche, einschließlich Sicherheitsbewertungen durch Dritte.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Überprüfen Sie die OAuth-Clients in diesem Projekt, die möglicherweise mit Ihrer Teststufe verknüpft sind. Erstellen Sie gegebenenfalls ähnliche OAuth-Clients für die Produktionsclients in Ihrem Produktionsprojekt.
- Aktivieren Sie alle APIs, die von Ihren Clients verwendet werden.
- Überprüfen Sie die Konfiguration des OAuth-Zustimmungsbildschirms im neuen Projekt.
In der Produktion verwendete Google OAuth-Clients dürfen keine Testumgebungen, Weiterleitungs-URIs oder JavaScript-Quellen enthalten, die nur Ihnen oder Ihrem Entwicklungsteam zur Verfügung stehen. Hier einige Beispiele:
- Die Testserver einzelner Entwickler
- Test- oder Vorabversionen deiner App
Eine Liste relevanter Kontakte für das Projekt pflegen
Google und die einzelnen aktivierten APIs müssen Sie möglicherweise über Änderungen an den Diensten oder über neue Konfigurationen informieren, die für Ihr Projekt und seine Clients erforderlich sind. Prüfen Sie die IAM-Einträge Ihres Projekts, um dafür zu sorgen, dass alle relevanten Personen in Ihrem Team die Projektkonfiguration bearbeiten oder aufrufen können. Diese Konten erhalten möglicherweise auch E-Mails über erforderliche Änderungen an Ihrem Projekt.
Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Projektressourcen ausführen können. Projektbearbeiter haben Berechtigungen für Aktionen, die den Status ändern, z. B. die Möglichkeit, Änderungen am OAuth-Zustimmungsbildschirm Ihres Projekts vorzunehmen. Projektinhaber, die alle Bearbeitungsberechtigungen haben, können mit dem Projekt verknüpfte Konten hinzufügen oder entfernen oder das Projekt löschen. Projektinhaber können auch erläutern, warum Zahlungsinformationen festgelegt werden. Projektinhaber können Zahlungsinformationen für ein Projekt einrichten, in dem kostenpflichtige APIs verwendet werden.
Projektinhaber und -bearbeiter müssen auf dem neuesten Stand gehalten werden. Sie können Ihrem Projekt mehrere relevante Konten hinzufügen, um dauerhaften Zugriff auf das Projekt und die damit verbundene Wartung zu gewährleisten. Wir senden E-Mails an diese Konten, wenn es Benachrichtigungen zu Ihrem Projekt oder Aktualisierungen unserer Dienste gibt. Google Cloud-Organisationsadministratoren müssen dafür sorgen, dass jedem Projekt in ihrer Organisation ein erreichbarer Kontakt zugeordnet ist. Wenn wir keine aktuellen Kontaktdaten für Ihr Projekt haben, verpassen Sie möglicherweise wichtige Nachrichten, die Ihrerseits erforderlich sind.
Ihre Identität muss korrekt dargestellt werden
Geben Sie einen gültigen App-Namen und optional ein Logo an, das Nutzern angezeigt werden soll. Diese Markeninformationen müssen die Identität Ihrer Anwendung genau wiedergeben. Die Branding-Informationen der App werden über OAuth Consent Screen pagekonfiguriert.
Bei Produktions-Apps müssen Markeninformationen, die in deinem OAuth-Zustimmungsbildschirm definiert sind, bestätigt werden, bevor sie den Nutzern angezeigt werden. Nutzer gewähren möglicherweise Zugriff auf Ihre Anwendung, nachdem diese die Markenüberprüfung abgeschlossen hat. Grundlegende Anwendungsinformationen, darunter Name, Startseite, Nutzungsbedingungen und Datenschutzerklärung, werden den Nutzern auf dem Berechtigungsbildschirm angezeigt, wenn sie ihre bestehenden Zuschüsse prüfen, oder für Google Workspace-Administratoren, die die App-Verwendung durch ihre Organisation prüfen.
Google kann den Zugriff auf Google API-Dienste und andere Google-Produkte und -Dienste für Apps, die ihre Identität falsch darstellen oder versuchen, Nutzer zu täuschen, widerrufen oder sperren.
Nur benötigte Bereiche anfordern
Bei der Entwicklung Ihrer Anwendung haben Sie vielleicht anhand eines von der API bereitgestellten Beispielbereichs ein Proof of Concept innerhalb Ihrer Anwendung erstellt, um mehr über die Funktionen der API zu erfahren. Diese Beispielbereiche fordern häufig mehr Informationen an, als die endgültige Implementierung Ihrer Anwendung benötigt, da sie eine umfassende Abdeckung aller möglichen Aktionen für eine bestimmte API bieten. Der Beispielbereich kann beispielsweise Lese-, Schreib- und Löschberechtigungen anfordern, während Ihre Anwendung nur Leseberechtigungen erfordert. Fordern Sie relevante Berechtigungen an, die sich auf die wichtigen Informationen beschränken, die zur Implementierung Ihrer Anwendung erforderlich sind.
Lesen Sie die Referenzdokumentation für die API-Endpunkte, die von Ihrer Anwendung aufgerufen werden, und notieren Sie sich die Bereiche, die sie für den Zugriff auf die relevanten Daten benötigen, die Ihre Anwendung benötigt. Sehen Sie sich alle Autorisierungsleitfäden der API an und beschreiben Sie deren Bereiche ausführlicher, um die häufigsten Verwendungsarten zu berücksichtigen. Wählen Sie den minimalen Datenzugriff aus, den Ihre Anwendung für die Bereitstellung der zugehörigen Funktionen benötigt.
Weitere Informationen zu dieser Anforderung finden Sie in den OAuth 2.0-Richtlinien im Abschnitt Nur benötigte Bereiche anfordern und in der Nutzerdatenrichtlinie der Google API-Dienste den Abschnitt Relevante Berechtigungen anfordern.
Produktionsanwendungen zur Prüfung einreichen, die vertrauliche oder eingeschränkte Bereiche verwenden
Bestimmte Bereiche werden als „vertraulich“ oder „eingeschränkt“ klassifiziert und können nicht ohne Überprüfung in Produktionsanwendungen verwendet werden. Geben Sie alle Bereiche, die Ihre Produktionsanwendung verwendet, in der Konfiguration des OAuth-Zustimmungsbildschirms ein. Wenn Ihre Produktionsanwendung vertrauliche oder eingeschränkte Bereiche verwendet, müssen Sie Ihre Verwendung dieser Bereiche zur Prüfung einreichen, bevor Sie die Bereiche in eine Autorisierungsanfrage aufnehmen.
Nur Domains verwenden, die Ihnen gehören
Für die Überprüfung des OAuth-Zustimmungsbildschirms von Google müssen alle Domains verifiziert werden, die mit der Startseite, der Datenschutzerklärung, den Nutzungsbedingungen, den autorisierten Weiterleitungs-URIs oder den autorisierten JavaScript-Quellen Ihres Projekts verknüpft sind. Sehen Sie sich die Liste der von Ihrer Anwendung verwendeten Domains an, die im Abschnitt Autorisierte Domains des Editors für den OAuth-Zustimmungsbildschirm zusammengefasst ist. Identifizieren Sie alle Domains, die Ihnen nicht gehören und daher nicht verifiziert werden können. Verwende die Google Search Console, um die Inhaberschaft der autorisierten Domains deines Projekts zu bestätigen. Verwenden Sie als Inhaber oder Bearbeiter ein Google-Konto, das mit Ihrem API Console -Projekt verknüpft ist.
Wenn Ihr Projekt einen Dienstanbieter mit einer gemeinsamen, freigegebenen Domain verwendet, empfehlen wir, dass Sie Konfigurationen aktivieren, die die Verwendung Ihrer eigenen Domain ermöglichen. Einige Anbieter bieten an, ihre Dienste einer Subdomain einer Domain zuzuordnen, die Sie bereits besitzen.
Startseite für Produktions-Apps hosten
Jede Produktions-App, die OAuth 2.0 verwendet, muss eine öffentlich zugängliche Startseite haben. Potenzielle Nutzer deiner App besuchen möglicherweise die Startseite, um mehr über die Funktionen der App zu erfahren. Bestehende Nutzer können ihre Liste der bestehenden Zuschüsse prüfen und die Startseite Ihrer App aufrufen, um sie daran zu erinnern, dass sie Ihr Angebot weiterhin nutzen.
Die Startseite Ihrer App muss eine Beschreibung der Funktionen der App sowie Links zu einer Datenschutzerklärung und optionalen Nutzungsbedingungen enthalten. Die Startseite muss sich in einer bestätigten Domain befinden, die Ihnen gehört.
Sichere Weiterleitungs-URIs und JavaScript-Quellen verwenden
OAuth 2.0-Clients für Webanwendungen müssen ihre Daten mit HTTPS-Weiterleitungs-URIs und JavaScript-Quellen und nicht mit einfachem HTTP sichern. Google kann OAuth-Anfragen ablehnen, die nicht aus einem sicheren Kontext stammen oder in diesem aufgelöst werden.
Überlegen Sie, welche Anwendungen und Skripts von Drittanbietern Zugriff auf Tokens und andere Nutzeranmeldedaten haben, die auf Ihre Seite zurückkehren. Beschränken Sie den Zugriff auf sensible Daten mit Weiterleitungs-URI-Speicherorten, die auf das Überprüfen und Speichern von Tokendaten beschränkt sind.
Nächste Schritte
Nachdem Sie auf dieser Seite sichergestellt haben, dass Ihre Anwendung den OAuth 2.0-Richtlinien entspricht, finden Sie unter Zur Markenüberprüfung einreichen weitere Informationen zum Überprüfungsprozess.