Si la app solicita permiso a fin de usar las API de Google para acceder a los datos de los usuarios de Google, es posible que debas completar un proceso de verificación antes de que esté disponible públicamente por primera vez.
El hecho de que este requisito se aplique a tu app depende principalmente de dos factores:
- El tipo de datos de usuario a los que accede: información de perfil público, entradas de calendario, archivos de Drive, ciertos datos de salud y actividad física, etcétera
- El grado de acceso que necesita (solo lectura, lectura y escritura, etcétera).
Cuando usas OAuth 2.0 a fin de obtener permiso de una Cuenta de Google para acceder a sus datos, debes usar strings denominadas alcances a fin de especificar el tipo de datos a los que deseas acceder en su nombre. Si la app solicita permisos categorizados como sensibles o restringidos, es probable que debas completar el proceso de verificación, a menos que el uso de tu app califique para una excepción.
Algunos ejemplos de permisos sensibles incluyen la lectura de eventos almacenados en el Calendario de Google, el almacenamiento de un contacto nuevo en Contactos de Google o la eliminación de un video de YouTube. Para obtener más información sobre los permisos disponibles y sus clasificaciones, consulta la documentación de referencia de los extremos de la API a los que llama tu app y cualquier guía de autorización relacionada publicada para la API.
Debes solicitar permisos que requieran la menor cantidad de acceso a los datos del usuario necesarios para proporcionar esa funcionalidad. Por ejemplo, una app que solo lee datos no debe solicitar acceso de lectura, escritura y eliminación de contenido cuando hay un alcance más limitado disponible para la API y sus extremos relacionados. Los datos que recibes de una API de Google solo deben usarse de acuerdo con las políticas de la API y la forma en la que representas a los usuarios en las acciones de tu app y en tu política de privacidad.
Asegúrate de tener en cuenta el tiempo necesario para completar la verificación del plan de lanzamiento de tu app o cualquier función nueva que requiera un alcance nuevo. El proceso de verificación de alcance sensible suele tardar entre 3 y 5 días hábiles en completarse. Ten en cuenta que la app podría ser apta para completar la verificación de marca como un subconjunto de tu solicitud de verificación de alcance sensible.
Comprende los alcances sensibles
Los permisos sensibles requieren revisión por parte de Google para que una cuenta de Google pueda otorgar acceso. Los administradores de la organización de Google Workspace pueden restringir el acceso a permisos sensibles para impedir el acceso por ID de cliente de OAuth que la organización no marca como confiable de manera explícita.
Información sobre el uso de tu permiso
- Revisa los permisos que usa tu app o que quieres usar. Para conocer el uso existente de tu permiso, examina el código fuente de tu app en busca de alcances enviados con solicitudes de autorización.
- Determina que cada permiso solicitado sea necesario para las acciones previstas de la función de tu app y use el privilegio mínimo necesario para proporcionarla. Por lo general, una API de Google tiene documentación de referencia en la página del desarrollador de Google del producto para sus extremos, la cual incluye el alcance necesario para llamar al extremo o a propiedades específicas dentro de él. Si deseas obtener más información sobre los permisos de acceso necesarios para los extremos de la API a los que llama tu app, lee la documentación de referencia de esos extremos.
- Los datos que recibes de una API de Google solo deben usarse de acuerdo con las políticas de la API y de la forma en la que representas a los usuarios en las acciones de tu app y en tu política de privacidad.
- Consulta la documentación de la API para obtener más información sobre cada permiso, incluido su posible estado de sensitive or restricted .
- Declara todos los permisos que usa tu app en la página de permisos de configuración de la pantalla de consentimiento de OAuth de API Console. Los permisos que especifiques se agrupan en categorías sensibles o restringidas para destacar las verificaciones adicionales que sean necesarias.
- Encuentra el mejor permiso que coincida con los datos que usa tu integración, comprende su uso, vuelve a confirmar que todo funciona en un entorno de pruebas y, luego, prepárate para enviar la verificación.

Pasos para prepararse para la verificación
Todas las apps que usan las API de Google a fin de solicitar acceso a los datos deben realizar los siguientes pasos para completar la verificación de la marca:
- Confirma que tu app no se incluye en ninguno de los casos de uso de la sección Excepciones a los requisitos de verificación.
- Asegúrate de que tu app cumpla con los requisitos de desarrollo de la marca de las API o el producto asociados. Por ejemplo, consulta los lineamientos de desarrollo de la marca para los permisos de Acceso con Google.
- Verifica la propiedad de los dominios autorizados de tu proyecto en Google Search Console. Usa una Cuenta de Google que esté asociada a tu API Console proyecto como propietario o editor.
- Asegúrate de que toda la información de marca que aparezca en la pantalla de consentimiento de OAuth, como el nombre de la app, el correo electrónico de asistencia, el URI de la página principal, el URI de la política de privacidad, etc., represente con exactitud la identidad de la app.
Requisitos de la página principal de la aplicación
Asegúrate de que tu página principal cumpla con los siguientes requisitos:
- La página principal debe ser de acceso público y no solo para los usuarios que accedieron a su sitio.
- La relevancia de su página principal para la aplicación que está en proceso de revisión debe ser clara.
- Los vínculos a la ficha de tu app en Google Play Store o su página de Facebook no se consideran páginas principales válidas de la aplicación.
Requisitos de vinculación de la política de privacidad de la aplicación
Asegúrate de que la política de privacidad de tu app cumpla con los siguientes requisitos:
- La política de privacidad debe ser visible para los usuarios, alojada en el mismo dominio que la página principal de la aplicación y vinculada a la pantalla de consentimiento de OAuth de Google API Console. Ten en cuenta que la página principal debe incluir una descripción de la funcionalidad de la app, así como vínculos a la política de privacidad y a las Condiciones del Servicio opcionales.
- La política de privacidad debe divulgar la forma en que tu aplicación accede, usa, almacena o comparte los datos del usuario de Google. Debe limitar el uso de los datos del usuario de Google a las prácticas que se divulgan en su política de privacidad publicada.
Cómo enviar tu app para verificarla
Un proyectoGoogle API Console organiza todos tus recursos API Console . Un proyecto consiste en un conjunto de Cuentas de Google asociadas que tienen permiso para realizar operaciones del proyecto, un conjunto de API habilitadas y la configuración de facturación, autenticación y supervisión de esas API. Por ejemplo, un proyecto puede contener uno o más clientes de OAuth, configurar las APIs para que los usen esos clientes y configurar una pantalla de consentimiento de OAuth que se muestra a los usuarios antes de que autoricen el acceso a tu app.
Si alguno de tus clientes de OAuth no está listo para la producción, te sugerimos que lo borres del proyecto que solicita la verificación. Puedes hacerlo en Google API Console.
Para enviar la verificación, sigue estos pasos:
- Asegúrate de que tu app cumpla con las Condiciones del Servicio de las APIs de Google y la Política de Datos del Usuario de los Servicios de las APIs de Google.
- Mantén actualizados los roles de propietario y editor de las cuentas asociadas de tu proyecto, además del correo electrónico de asistencia al usuario de tu pantalla de consentimiento de OAuth y la información de contacto del desarrollador, en tu API Console. Esto garantiza que se notifique a los miembros correctos de tu equipo sobre los nuevos requisitos.
- Ve a API Console OAuth Consent Screen page.
- Haz clic en el botón Selector de proyectos.
-
En el diálogo Seleccionar de que aparece, selecciona tu proyecto. Si no puedes encontrar tu proyecto, pero conoces el ID del proyecto, puedes crear una URL en tu navegador con el siguiente formato:
https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]
Reemplaza [PROJECT_ID] por el ID del proyecto que deseas usar.
- Selecciona el botón Editar aplicación.
- Ingresa la información necesaria en la página de la pantalla de consentimiento de OAuth y, luego, selecciona el botón Guardar y continuar.
- Usa el botón Agregar o quitar permisos a fin de declarar todos los permisos solicitados por tu app. Un conjunto inicial de permisos necesarios para el Acceso con Google se completa previamente en la sección Permisos no sensibles. Los permisos agregados se clasifican como sensitive, or restrictedno sensibles.
- Proporciona hasta tres vínculos a documentación relevante de las funciones relacionadas en tu app.
-
Proporciona la información adicional que se solicite sobre tu app en los pasos posteriores.
- Prepare a detailed justification for each requested sensitive scope, as well as an explanation
for why a narrower scope isn't sufficient. For example: "My app will use
https://www.googleapis.com/auth/calendar
to show a user's Google calendar data on the scheduling screen of my app. This lets users manage their schedules through my app and sync the changes with their Google calendar." -
Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set its Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.
- Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
- Show that the OAuth consent screen correctly displays the App Name.
- Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
- To show how the data will be used, demonstrate the functionality that's enabled by each sensitive scope that you request.
- Prepare a detailed justification for each requested sensitive scope, as well as an explanation
for why a narrower scope isn't sufficient. For example: "My app will use
- Si la configuración de la app que proporcionas requiere verificación, puedes enviarla para su verificación. Completa los campos obligatorios y haz clic en Enviar para iniciar el proceso de verificación.
Después de que envíes la app, el equipo de Confianza y Seguridad de Google enviará un correo electrónico con la información adicional que necesite o los pasos que debes completar. Verifica las direcciones de correo electrónico en la sección Información de contacto del desarrollador y el correo electrónico de asistencia de la pantalla de consentimiento de OAuth para solicitar más información. También puedes ver la página de la pantalla de consentimiento de OAuth de tu proyecto para confirmar el estado actual de la revisión, incluso si el proceso de revisión está en pausa mientras esperamos tu respuesta.
Excepciones a los requisitos de verificación
Si tu app se usará en alguna de las situaciones que se describen en las siguientes secciones, no necesitas enviarla para su revisión.
Uso personal
Un caso de uso es si eres el único usuario de tu app o si solo unos pocos usuarios usan la app. Es posible que tú y la cantidad limitada de usuarios se sientan cómodos al avanzar por la pantalla de la app sin verificar y otorgar acceso a tu app a tus cuentas personales.
Proyectos usados en los niveles de desarrollo, pruebas o etapa de pruebas
A fin de satisfacer las políticas de Google OAuth 2.0, te recomendamos que tengas proyectos diferentes para los entornos de prueba y producción. Te recomendamos que envíes tu app para verificación únicamente si quieres que esté disponible para cualquier usuario que tenga una Cuenta de Google. Por lo tanto, si tu app se encuentra en las fases de desarrollo, prueba o etapa de pruebas, no se requiere verificación.
Si la app se encuentra en las fases de desarrollo o prueba, puedes dejar el Estado de publicación en la configuración predeterminada de Pruebas. Esto significa que tu app aún está en desarrollo y solo está disponible para los usuarios que agregues a la lista de usuarios de prueba. Debes administrar la lista de Cuentas de Google que participan en el desarrollo o la prueba de tu app.

Solo datos del servicio
Si tu app usa una cuenta de servicio para acceder solo a sus propios datos y no accede a ningún dato del usuario (vinculado a una Cuenta de Google), no es necesario que envíes la verificación.
Para comprender qué son las cuentas de servicio, consulta Cuentas de servicio en la documentación de Google Cloud. Para obtener instrucciones sobre cómo usar una cuenta de servicio, consulta la sección sobre cómo usar OAuth 2.0 para aplicaciones de servidor a servidor.
Solo para uso interno
Esto significa que solo las personas de tu organización de Google Workspace o Cloud Identity usan la app. El proyecto debe ser propiedad de la organización, y su pantalla de consentimiento de OAuth debe configurarse para un tipo de usuario interno. En este caso, es posible que tu app necesite la aprobación de un administrador de la organización. Para obtener más información, consulta Consideraciones adicionales de Google Workspace.
- Obtén más información sobre las aplicaciones internas y públicas.
- Obtén información sobre cómo marcar tu app como interna en la sección de Preguntas frecuentes ¿Cómo puedo marcar mi app como de uso interno únicamente?
Instalación en todo el dominio
Si planeas que la app se oriente únicamente a usuarios de una organización de Google Workspace o Cloud Identity y que siempre use la instalación de todo el dominio, la app no requerirá la verificación. Esto se debe a que una instalación en todo el dominio permite que un administrador del dominio otorgue a las aplicaciones internas y de terceros acceso a los datos de los usuarios. Los administradores de la organización son las únicas cuentas que pueden agregar la app a una lista de entidades permitidas para usarla dentro de sus dominios.
Descubre cómo convertir tu app en una instalación de todo el dominio en las Preguntas frecuentes Mi aplicación tiene usuarios con cuentas empresariales de otro dominio de Google Workspace.