Cuando estés listo para implementar la solución implementada más allá del entorno de desarrollo a los usuarios de tu app, es posible que debas tomar medidas adicionales para cumplir con las Políticas de OAuth 2.0 de Google. En esta guía, se describe cómo cumplir con los problemas más comunes de los desarrolladores que se encuentran cuando preparas tu app para la producción. Esto te ayuda a llegar al mayor público posible con errores limitados.
- Usa proyectos diferentes para pruebas y producción
- Mantener una lista de contactos relevantes para el proyecto
- Representa con exactitud tu identidad
- Solo solicita los permisos que necesites
- Envía apps de producción que usen permisos sensibles o restringidos para la verificación
- Use solo dominios de su propiedad
- Aloja una página principal para apps de producción
- Usa URI de redireccionamiento seguros y orígenes de JavaScript
Usa proyectos separados para pruebas y producción
Las políticas de OAuth de Google requieren proyectos separados para las pruebas y la producción. Algunas políticas y requisitos solo se aplican a las apps de producción. Es posible que debas crear y configurar un proyecto independiente que incluya clientes de OAuth que correspondan a la versión de producción de tu app disponible para todas las Cuentas de Google.
Los clientes de Google OAuth que se usan en la producción proporcionan un entorno de almacenamiento y recopilación de datos más estable, predecible y seguro que los clientes de OAuth similares que prueban o depuran la misma aplicación. Tu proyecto de producción puede enviarse a verificación y, por lo tanto, está sujeto a requisitos adicionales para alcances de API específicos, que pueden incluir evaluaciones de seguridad de terceros.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Revisa los clientes de OAuth de este proyecto que podrían estar asociados con tu nivel de prueba. Si corresponde, crea clientes de OAuth similares para los clientes de producción de tu proyecto de producción.
- Habilita las API que usen tus clientes.
- Revisa la configuración de la pantalla de consentimiento de OAuth en el proyecto nuevo.
Los clientes de Google OAuth que se usan en producción no deben contener entornos de prueba, URI de redireccionamiento ni orígenes de JavaScript disponibles solo para ti o tu equipo de desarrollo. Estos son algunos ejemplos:
- Los servidores de prueba de desarrolladores individuales
- Cómo probar o lanzar versiones previas de tu app
Mantener una lista de contactos relevantes para el proyecto
Es posible que Google y las API individuales que habilites deban comunicarse contigo en relación con los cambios en los servicios o las configuraciones nuevas que se necesiten para el proyecto y los clientes. Revisa las fichas IAM de tu proyecto para asegurarte de que los miembros relevantes de tu equipo tengan acceso para editar o ver la configuración de tu proyecto. Es posible que estas cuentas también reciban correos electrónicos sobre los cambios necesarios en tu proyecto.
Una función contiene un conjunto de permisos que te permite realizar acciones específicas en los recursos del proyecto. Los editores del proyecto tienen permisos para realizar acciones que modifican el estado, como la capacidad de realizar cambios en la pantalla de consentimiento de OAuth del proyecto. Los propietarios del proyecto que tienen todos los permisos de editor pueden agregar o quitar cuentas asociadas al proyecto, o bien borrarlo. Los propietarios del proyecto también pueden proporcionar contexto sobre por qué se podrían establecer los datos de facturación. Los propietarios del proyecto pueden configurar los datos de facturación para un proyecto que usa API pagadas.
Los propietarios y editores de proyectos deben estar actualizados. Puedes agregar varias cuentas relevantes a tu proyecto para garantizar el acceso continuo al proyecto y al mantenimiento relacionado. Enviamos correos electrónicos a esas cuentas cuando hay notificaciones sobre tu proyecto o actualizaciones de nuestros servicios. Los administradores de la organización de Google Cloud deben asegurarse de que un contacto accesible esté asociado con cada proyecto de su organización. Si no tenemos información de contacto actualizada para tu proyecto, es posible que te pierdas mensajes importantes que requieren una acción de tu parte.
Representa tu identidad con precisión
Proporciona un nombre de app válido y, opcionalmente, un logotipo para mostrar a los usuarios. Esta información de marca debe representar con exactitud la identidad de tu aplicación. La información de marca de la app se configura desde OAuth Consent Screen page.
En el caso de las apps de producción, la información de la marca definida en la pantalla de consentimiento de OAuth debe verificarse antes de que se muestre a los usuarios. Es más probable que los usuarios otorguen acceso a tu app una vez que complete la verificación de marca. La información básica de la aplicación, que incluye el nombre de la aplicación, la página principal, las condiciones del servicio y la política de privacidad, se muestra a los usuarios en la pantalla de concesión, cuando revisan los subsidios existentes, o a los administradores de Google Workspace que revisan el uso de la aplicación por parte de su organización.
Google puede revocar o suspender el acceso a los servicios de las API de Google y a otros productos y servicios de Google para las aplicaciones que tergiversen su identidad o intenten engañar a los usuarios.
Solo solicita los permisos que necesites
Durante el desarrollo de tu aplicación, es posible que hayas usado un alcance de ejemplo proporcionado por la API para crear una prueba de concepto dentro de tu aplicación a fin de obtener más información sobre sus características y su funcionalidad. Estos alcances de ejemplo a menudo solicitan más información que la implementación final de tu app, ya que proporcionan una cobertura integral de todas las acciones posibles para una API en particular. Por ejemplo, el alcance de ejemplo puede solicitar permisos de lectura, escritura y eliminación mientras tu aplicación solo requiere permisos de lectura. Solicita permisos relevantes que estén limitados a la información crítica necesaria para implementar tu aplicación.
Revisa la documentación de referencia de los extremos de la API a los que llama tu app y ten en cuenta los permisos que requieren para acceder a los datos relevantes que tu app necesita. Revisa las guías de autorización que ofrece la API y describe sus alcances con más detalle para incluir el uso más común. Elige el acceso mínimo a datos que tu aplicación necesite para potenciar las funciones relacionadas.
Para obtener más información sobre este requisito, lee la sección Solo solicita los permisos que necesitas de las políticas de OAuth 2.0, junto con la sección Solicita permisos relevantes de la Política de Datos del Usuario de los Servicios de las API de Google.
Envía apps de producción que usen alcances sensibles o restringidos para la verificación
Algunos alcances se clasifican como "sensibles" o "restringidos" y no se pueden usar en apps de producción sin revisión. Ingresa todos los alcances que use tu app de producción en la configuración de la pantalla de consentimiento de OAuth. Si tu app de producción usa permisos sensibles o restringidos, debes enviar el uso de esos alcances para la verificación antes de incluirlos en una solicitud de autorización.
Usa solo tus dominios
El proceso de verificación de la pantalla de consentimiento de OAuth de Google requiere la verificación de todos los dominios asociados con la página principal, la política de privacidad, las Condiciones del Servicio, los URI de redireccionamiento autorizados o los orígenes autorizados de JavaScript de tu proyecto. Revisa la lista de dominios que usa tu app, resumidos en la sección Dominios autorizados del editor de pantalla de consentimiento de OAuth. Luego, identifica los dominios que no te pertenecen y que, por lo tanto, no podrías verificar. Para verificar la propiedad de los dominios autorizados de tu proyecto, usa Google Search Console. Usa una Cuenta de Google asociada a tu API Console proyecto como propietario o editor.
Si tu proyecto usa un proveedor de servicios con un dominio compartido común, te recomendamos habilitar las opciones de configuración que permitan el uso de tu propio dominio. Algunos proveedores ofrecen asignar sus servicios a un subdominio de un dominio que ya posees.
Aloja una página principal para apps de producción
Todas las aplicaciones de producción que usen OAuth 2.0 deben tener una página principal de acceso público. Los usuarios potenciales de tu app pueden visitar la página principal para obtener más información sobre las características que ofrece. Los usuarios existentes pueden revisar su lista de subsidios existentes y visitar la página principal de tu app como recordatorio de que siguen usando tu oferta.
La página principal de tu aplicación debe incluir una descripción de la funcionalidad de la aplicación, así como vínculos a una política de privacidad y condiciones del servicio opcionales. La página principal debe existir en un dominio verificado con tu propiedad.
Usa URI de redireccionamiento seguros y orígenes de JavaScript
Los clientes de OAuth 2.0 para apps web deben proteger sus datos con URI de redireccionamiento HTTPS y orígenes de JavaScript, no HTTP sin formato. Google puede rechazar las solicitudes de OAuth que no se originan en un contexto seguro ni se resuelven en él.
Ten en cuenta qué aplicaciones y secuencias de comandos de terceros podrían tener acceso a tokens y otras credenciales de usuario que regresen a tu página. Limita el acceso a los datos sensibles con ubicaciones de URI de redireccionamiento que se limitan a verificar y almacenar datos de tokens.
Próximos pasos
Una vez que te asegures de que tu app cumpla con las políticas de OAuth 2.0 de esta página, consulta Enviar para la verificación de marca a fin de obtener detalles sobre el proceso de verificación.