OAuth 2.0-Richtlinien einhalten

Wenn Sie bereit sind, Ihre implementierte Lösung außerhalb der Entwicklungsumgebung für die Nutzer Ihrer Anwendung bereitzustellen, müssen Sie möglicherweise zusätzliche Schritte ausführen, um die OAuth 2.0-Richtlinien von Google einzuhalten. In diesem Leitfaden wird beschrieben, wie du die häufigsten Entwicklerprobleme bei der Vorbereitung deiner App für die Produktion befolgst. So erreichen Sie die größtmögliche Zielgruppe mit möglichst wenig Fehlern.

Separate Projekte für Tests und Produktion verwenden

Die OAuth-Richtlinien von Google erfordern separate Projekte für Tests und die Produktion. Einige Richtlinien und Anforderungen gelten nur für Produktionsanwendungen. Möglicherweise müssen Sie ein separates Projekt erstellen und konfigurieren, das OAuth-Clients enthält, die der Produktionsversion Ihrer Anwendung entsprechen, die für alle Google-Konten verfügbar ist.

Google OAuth-Clients, die in der Produktion verwendet werden, bieten eine stabilere, vorhersehbarere und sicherere Umgebung zur Datenerfassung und -speicherung als ähnliche OAuth-Clients, die dieselbe Anwendung testen oder debuggen. Ihr Produktionsprojekt kann zur Prüfung eingereicht werden und unterliegt daher zusätzlichen Anforderungen für bestimmte API-Bereiche. Dazu können Sicherheitsbewertungen durch Dritte gehören.

  1. Go to the Google API Console. Click Create project, enter a name, and click Create.
  2. Überprüfen Sie die OAuth-Clients in diesem Projekt, die Ihrer Teststufe zugeordnet sein könnten. Erstellen Sie gegebenenfalls ähnliche OAuth-Clients für die Produktionsclients in Ihrem Produktionsprojekt.
  3. Aktivieren Sie alle APIs, die von Ihren Clients verwendet werden.
  4. Überprüfen Sie die Konfiguration des OAuth-Zustimmungsbildschirms im neuen Projekt.

In der Produktion verwendete Google OAuth-Clients dürfen keine Testumgebungen, Weiterleitungs-URIs oder JavaScript-Quellen enthalten, die nur Ihnen oder Ihrem Entwicklungsteam zugänglich sind. Hier einige Beispiele:

  • Die Testserver einzelner Entwickler
  • App-Versionen testen oder vorab veröffentlichen

Eine Liste relevanter Kontakte für das Projekt pflegen

Google und die von Ihnen aktivierten einzelnen APIs müssen Sie möglicherweise über Änderungen an seinen Diensten oder neue Konfigurationen informieren, die für Ihr Projekt und seine Clients erforderlich sind. Prüfen Sie die IAM-Einträge Ihres Projekts, um dafür zu sorgen, dass alle in Ihrem Team enthaltenen Personen die Projektkonfiguration bearbeiten oder ansehen können. Diese Konten erhalten möglicherweise auch E-Mails über erforderliche Änderungen an Ihrem Projekt.

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Projektressourcen ausführen können. Projektbearbeiter haben Berechtigungen für Aktionen, mit denen der Status geändert wird, z. B. die Möglichkeit, Änderungen am OAuth-Zustimmungsbildschirm Ihres Projekts vorzunehmen. Projektinhaber mit allen Berechtigungen zum Bearbeiten können mit dem Projekt verknüpfte Konten hinzufügen oder entfernen oder das Projekt löschen. Projektinhaber können auch erklären, warum Zahlungsinformationen möglicherweise festgelegt werden. Projektinhaber können Zahlungsinformationen für ein Projekt einrichten, in dem kostenpflichtige APIs verwendet werden.

Projektinhaber und -bearbeiter müssen auf dem neuesten Stand gehalten werden. Sie können Ihrem Projekt mehrere relevante Konten hinzufügen, um dauerhaften Zugriff auf das Projekt und die zugehörige Wartung zu ermöglichen. Wir senden E-Mails an diese Konten, wenn es Benachrichtigungen zu Ihrem Projekt oder Aktualisierungen unserer Dienste gibt. Google Cloud-Organisationsadministratoren müssen jedem Projekt in ihrer Organisation einen erreichbaren Kontakt zuweisen. Wenn wir keine aktuellen Kontaktdaten für Ihr Projekt haben, verpassen Sie möglicherweise wichtige Nachrichten, die Ihre Aktion erfordern.

Korrekte Darstellung Ihrer Identität

Geben Sie einen gültigen App-Namen und optional ein Logo an, das Nutzern angezeigt werden soll. Diese Markeninformationen müssen die Identität Ihrer Anwendung genau darstellen. App-Branding-Informationen werden über OAuth Consent Screen pagekonfiguriert.

Bei Produktions-Apps müssen Markeninformationen, die in deinem OAuth-Zustimmungsbildschirm angegeben sind, bestätigt werden, bevor sie Nutzern angezeigt werden. Die Wahrscheinlichkeit, dass Nutzer Zugriff auf Ihre Anwendung gewähren, ist möglicherweise höher, nachdem sie die Markenüberprüfung abgeschlossen hat. Grundlegende Antragsinformationen, wie der Name der Anwendung, die Startseite, die Nutzungsbedingungen und die Datenschutzerklärung, werden den Nutzern auf dem Berechtigungsbildschirm angezeigt, wenn sie ihre bestehenden Berechtigungen prüfen, oder für Google Workspace-Administratoren, die die App-Nutzung in ihrer Organisation überprüfen.

Google kann den Zugriff auf Google API-Dienste und andere Google-Produkte und -Dienste für Apps widerrufen oder sperren, die ihre Identität falsch darstellen oder versuchen, Nutzer zu täuschen.

Nur benötigte Bereiche anfordern

Bei der Entwicklung Ihrer Anwendung haben Sie möglicherweise anhand eines von der API bereitgestellten Beispielbereichs ein Proof of Concept innerhalb der Anwendung erstellt, um mehr über die Funktionen der API zu erfahren. Diese Beispielbereiche fordern häufig mehr Informationen an, als die endgültige Implementierung Ihrer Anwendung benötigt, da sie eine umfassende Abdeckung aller möglichen Aktionen für eine bestimmte API bieten. Der Beispielbereich kann beispielsweise Lese-, Schreib- und Löschberechtigungen anfordern, während Ihre Anwendung nur Leseberechtigungen erfordert. Fordern Sie relevante Berechtigungen an, die auf die wesentlichen Informationen beschränkt sind, die für die Implementierung Ihrer Anwendung erforderlich sind.

Lesen Sie die Referenzdokumentation für die API-Endpunkte, die von Ihrer Anwendung aufgerufen werden, und notieren Sie sich die Bereiche, die sie für den Zugriff auf die relevanten Daten benötigen, die Ihre Anwendung benötigt. Sehen Sie sich alle Autorisierungsleitfäden der API an und beschreiben Sie deren Bereiche detailliert, um die häufigsten Verwendungsmöglichkeiten aufzuzeigen. Wählen Sie den geringstmöglichen Datenzugriff aus, den Ihre Anwendung benötigt, um die zugehörigen Funktionen bereitzustellen.

Weitere Informationen zu dieser Anforderung finden Sie in den OAuth 2.0-Richtlinien im Abschnitt Nur benötigte Bereiche für Anfragen sowie in der Nutzerdatenrichtlinie der Google API-Dienste unter Relevante Berechtigungen anfordern.

Produktionsanwendungen mit vertraulichen oder eingeschränkten Bereichen zur Überprüfung einreichen

Bestimmte Bereiche werden als „sensibel“ oder „eingeschränkt“ klassifiziert und können in Produktionsanwendungen nicht ohne Überprüfung verwendet werden. Geben Sie in der Konfiguration des OAuth-Zustimmungsbildschirms alle Bereiche an, die Ihre Produktionsanwendung verwendet. Wenn Ihre Produktionsanwendung vertrauliche oder eingeschränkte Bereiche verwendet, müssen Sie diese Bereiche zur Überprüfung einreichen, bevor Sie die Bereiche in eine Autorisierungsanfrage aufnehmen.

Nur Domains verwenden, deren Inhaber Sie sind

Für den OAuth-Zustimmungsbildschirm von Google müssen alle Domains überprüft werden, die mit der Startseite, der Datenschutzerklärung, den Nutzungsbedingungen, den autorisierten Weiterleitungs-URIs oder den autorisierten JavaScript-Quellen Ihres Projekts verknüpft sind. Sehen Sie sich die Liste der Domains an, die von Ihrer Anwendung verwendet werden. Sie finden sie im Abschnitt Autorisierte Domains des OAuth-Zustimmungsbildschirms. Geben Sie alle Domains an, deren Inhaber Sie nicht sind und die Sie daher nicht bestätigen können. Die Inhaberschaft der autorisierten Domains Ihres Projekts können Sie in der Google Search Console bestätigen. Verwenden Sie als Inhaber oder Bearbeiter ein Google-Konto, das mit Ihrem API Console Projekt verknüpft ist.

Wenn Ihr Projekt einen Dienstanbieter mit einer gemeinsamen, gemeinsamen Domain verwendet, sollten Sie Konfigurationen aktivieren, die die Verwendung Ihrer eigenen Domain ermöglichen. Einige Anbieter bieten an, ihre Dienste einer Subdomain einer Domain zuzuordnen, die Sie bereits besitzen.

Startseite für Produktions-Apps hosten

Jede Produktions-App, die OAuth 2.0 verwendet, muss eine öffentlich zugängliche Startseite haben. Potenzielle Nutzer deiner App besuchen möglicherweise die Startseite, um mehr über die Funktionen zu erfahren, die die App bietet. Bestehende Nutzer können ihre Liste der bestehenden Zuschüsse prüfen und die Startseite Ihrer App aufrufen, um sie daran zu erinnern, dass sie Ihr Angebot weiterhin genutzt haben.

Die Startseite deiner App muss eine Beschreibung der Funktionalität der App sowie Links zu einer Datenschutzerklärung und optionalen Nutzungsbedingungen enthalten. Die Startseite muss sich in einer bestätigten Domain befinden, für die Sie Inhaber sind.

Sichere Weiterleitungs-URIs und JavaScript-Quellen verwenden

OAuth 2.0-Clients für Webanwendungen müssen ihre Daten mit HTTPS-Weiterleitungs-URIs und JavaScript-Quellen und nicht mit einfachem HTTP sichern. Google kann OAuth-Anfragen ablehnen, die nicht aus einem sicheren Kontext stammen oder in diesen aufgelöst werden.

Überlege, welche Anwendungen und Skripts von Drittanbietern Zugriff auf Tokens und andere Nutzeranmeldedaten haben, die auf deine Seite zurückkehren. Beschränken Sie den Zugriff auf sensible Daten mit Weiterleitungs-URI-Speicherorten, die auf das Überprüfen und Speichern von Tokendaten beschränkt sind.

Nächste Schritte

Nachdem du dich vergewissert hast, dass deine Anwendung den OAuth 2.0-Richtlinien auf dieser Seite entspricht, findest du unter Zur Markenüberprüfung einreichen weitere Informationen zum Überprüfungsverfahren.