In diesem Dokument werden die Hintergrundinformationen beschrieben, die Sie zur Verwendung der Google Site Verification API benötigen.
Einführung
Die Google Site Verification API ist für Entwickler gedacht, die Anwendungen oder Dienste schreiben möchten, die Bestätigung der Inhaberschaft einer Website oder Domain zu automatisieren. Das ist wichtig, da einige Google-Dienste können nur von Website- oder Domaininhabern verwendet werden. Mit der Google Site Verification API können Sie Sie bestätigen, dass der authentifizierte Nutzer Inhaber der Domain oder Website ist, möglicherweise als erster Nutzer bei der programmatischen Bereitstellung anderer Google-Dienste.
In diesem Dokument wird davon ausgegangen, dass Sie mit Konzepten der Webprogrammierung, Webdatenformaten und dass Sie die Möglichkeit haben, die Dateien oder DNS-Einträge Ihrer Website oder Domain programmatisch zu ändern.
Übersicht
Mit der Google Site Verification API können Sie die Google-Daten zur Websiteüberprüfung eines Nutzers ändern. Nutzer können nur auf bestimmte Google-Dienste zugreifen, wenn deren Bestätigungsdaten zeigen, dass sie der Inhaber der bestimmte Websitedomain. Sie können die API verwenden, um Bestätigungstokens für authentifizierte die Ihr Code auf unterschiedliche Weise auf Ihren Websites oder in Ihren Domain-Datensätzen Sobald das Token eingerichtet ist, rufen Sie die API auf, um Google zu bitten, nach dem Token. Wenn Google das Token findet, wird der authentifizierte Nutzer als Inhaber der Website registriert. oder eine Domain angeben. Sie können die API auch verwenden, um die Liste der Eigentumsrechte für den Nutzer zu ändern oder Website-Inhaberschaft vollständig zu entfernen.
Alle API-Aufrufe müssen von einem authentifizierten Nutzer autorisiert werden und alle API-Aufrufe werden ausgeführt im Zusammenhang mit dem Konto des authentifizierten Nutzers.
Ein konkretes Beispiel für die Verwendung dieser API wäre, wenn Sie einen Webhosting-Dienst bereitstellen. Ihre Nutzer möchten die Search Console von Google verwenden können. um Informationen über ihre Website zu erhalten. Dazu muss Google wissen, sie wirklich besitzen. Sie stellen Ihren Nutzern eine Oberfläche bereit, auf der sie aufgefordert werden, ihre der Inhaberschaft der Website. Diese geben Ihrer Anwendung Zugriff auf ihre Verifizierungsdaten Code ausführen, der in seinem Namen ein Token anfordert, es in eine Datei auf der Website einfügt und bittet Google, das zu überprüfen. Wenn Google das Token findet, werden Ihnen Eigentumsrechte für um die Website für den Nutzer zugänglich zu machen, indem er seine Bestätigungsdaten aktualisiert. Mit der Search Console kann er die gewünschten Informationen zu erhalten.
Vorbereitung
Erstellen Sie sich ein Google-Konto
Sie müssen ein Google-Konto eingerichtet haben. Wir empfehlen Ihnen, für Entwicklungs- und Testzwecke ein separates Google-Konto zu verwenden, um sich vor versehentlichen Datenverlusten zu schützen.
Mit der Websitebestätigung vertraut machen
Falls Sie mit den Konzepten der Google Site Verification API nicht vertraut sind, sollten Sie dieses Dokument lesen, mit der Benutzeroberfläche für die Bestätigung experimentieren und die zugehörige Hilfedokumentation lesen, bevor Sie mit dem Codieren beginnen.
Weitere Informationen zum Autorisieren von Anfragen
Jede Anfrage, die Ihre Anwendung an die Google Site Verification API sendet, muss ein Autorisierungstoken enthalten. Anhand dieses Tokens wird deine Anwendung Google gegenüber identifiziert.
Autorisierungsprotokolle
Ihre Anwendung muss zur Autorisierung von Anfragen OAuth 2.0 verwenden. Andere Autorisierungsprotokolle werden nicht unterstützt. Wenn deine Anwendung Über Google anmelden verwendet, werden einige Schritte der Autorisierung automatisch ausgeführt.
Anfragen mit OAuth 2.0 autorisieren
Alle Anfragen an die Google Site Verification API müssen von einem authentifizierten Nutzer autorisiert werden.
Die Details dieses Autorisierungsablaufs für OAuth 2.0 hängen davon ab, welche Art von Anwendung du schreibst. Die folgende allgemeine Vorgehensweise gilt für alle Arten von Anwendungen:
- Wenn Sie Ihre Anwendung erstellen, registrieren Sie diese über die Google API Console. Google stellt Ihnen dann die Informationen bereit, die du später benötigst, z. B. eine Client-ID und einen Clientschlüssel.
- Aktivieren Sie die Google Site Verification API in der Google API Console. Überspringe diesen Schritt, falls die API nicht in der API Console aufgeführt ist.
- Wenn deine Anwendung Zugriff auf Nutzerdaten benötigt, bittet sie Google um einen bestimmten Zugriffsbereich.
- Dem Nutzer wird von Google ein Zustimmungsbildschirm angezeigt, auf dem er gebeten wird, deine Anwendung dazu zu autorisieren, einige seiner Daten abzufragen.
- Wenn der Nutzer zustimmt, erhält deine Anwendung von Google ein kurzlebiges Zugriffstoken.
- Die Anwendung fordert Nutzerdaten an, wobei das Zugriffstoken an die Anfrage angehängt wird.
- Stellt Google fest, dass Ihre Anfrage und das Token gültig sind, werden die angeforderten Daten zurückgegeben.
Einige Abläufe enthalten zusätzliche Schritte, beispielsweise die Verwendung von Aktualisierungstoken zum Erhalt neuer Zugriffstoken. Weitere Informationen über die Abläufe für die unterschiedlichen Anwendungstypen findest du in der OAuth 2.0-Dokumentation.
Im Folgenden finden Sie die Informationen zum Umfang von OAuth 2.0 für die Google Site Verification API:
Umfang | Bedeutung |
---|---|
https://www.googleapis.com/auth/siteverification |
Vollständiger Lesezugriff für vorhandene bestätigte Websites, Möglichkeit zur Bestätigung neuer Websites. |
https://www.googleapis.com/auth/siteverification.verify_only |
Berechtigung zur Bestätigung neuer Websites, kein Lesezugriff für bereits bestätigte Websites. |
Zur Anforderung eines Zugriffs mit OAuth 2.0 benötigt Ihre Anwendung die Informationen zum Umfang sowie die Informationen, die Google bei der Registrierung Ihrer Anwendung bereitstellt, z. B. die Client-ID und den Clientschlüssel.
Tipp: Die Google APIs-Clientbibliotheken können einige Schritte des Autorisierungsvorgangs für Sie übernehmen. Sie sind für verschiedene Programmiersprachen verfügbar. Weitere Informationen erhältst du auf der Seite Bibliotheken und Beispiele.
Hintergrund: Google Site Verification API
Konzepte
Mit der Google Site Verification API können Sie die Inhaberschaft eines Nutzers für die folgenden Arten von Webressourcen nachweisen:
- Domain:Eine Domain oder Subdomain. Der Eigentümer einer Domain gilt als
Inhaber aller Websites und Subdomains unter dieser Domain. Beispiel: Der direkte Inhaber von
bar.com
wird auch als indirekter Inhaber vonfoo.bar.com
angesehen. - Website:Eine URL, die der Basisdomain und dem Pfad einer Website entspricht. Der Eigentümer einer Website gilt als Eigentümer aller untergeordneten Websites. Beispiel: Der Inhaber von „http://www.beispiel.de/website“ wird auch als Inhaber von „http://www.beispiel.de/website/untergeordnete“ betrachtet.
Da die Domaininhaberschaft umfassender ist als die Website-Inhaberschaft, empfehlen wir, die Bestätigung nach Möglichkeit mit Domains durchzuführen.
Der Prozess zum Einrichten der Inhaberschaft beginnt damit, dass Ihre Anwendung ein „Bestätigungstoken“ im Namen des Nutzers anfordert. Das Bestätigungstoken ist ein spezieller String, den Ihr Code dann auf der Website oder in der Domain platzieren muss. Nach der Platzierung des Tokens kann Ihre Anwendung eine Anfrage an die Google Site Verification API senden, die nach dem Token sucht und die Inhaberschaft erfasst, sobald es gefunden wird.
Beschränkungen
Aus Sicherheits- und technischen Gründen erzwingt die Google Site Verification API einige Einschränkungen für ihre Verwendung:
- Datenzugriff nur für authentifizierte Nutzer : Für alle Vorgänge ist eine Nutzerauthentifizierung und -autorisierung erforderlich.
- Überprüfung nur für authentifizierte Nutzer:Mit der API kann nur die Inhaberschaft von Websites oder Domains für das aktuell authentifizierte Konto bestätigt werden. Der authentifizierte Nutzer kann jedoch die Inhaberschaft an andere Nutzer übertragen, nachdem ihre Inhaberschaft einer Website bestätigt wurde. Alle Inhaber werden per E-Mail benachrichtigt, wenn Änderungen an der Liste der Eigentumsrechte vorgenommen werden.
- Nur normalisierte URLs und Domainnamen: Die Google Site Verification API unterstützt keine IDN-Codierung (International Domain Name). Achten Sie darauf, alle URLs, Domainnamen und Domains von E-Mail-Adressen mithilfe von Punycoding gemäß dem Standardzeichensatz für Domainnamen (RFC 1034 § 3.5) zu normalisieren.
Bestätigungsmethoden und Tokens
Die API stellt Aufrufe für die separaten Überprüfungsphasen bereit:
- Bestätigungstoken platzieren: Es erfolgt ein API-Aufruf zum Abrufen eines Bestätigungstokens, das auf der Website des authentifizierten Nutzers platziert werden soll. Wenn ein Nutzer mehr als eine Website hat, müssen Sie für jede Website ein anderes Token anfordern.
- Auf das Vorhandensein des Bestätigungstokens prüfen : Es gibt einen separaten API-Aufruf, mit dem Google aufgefordert wird, nach dem Token zu suchen, um zu bestätigen, dass der authentifizierte Nutzer der Inhaber einer Website ist.
Es gibt mehrere Methoden zur Bestätigung einer Website oder Domain, die Ihre Anwendung verwenden kann: hängt davon ab, was für Ihre Anforderungen am besten geeignet ist. Der Speicherort des Tokens und der Tokentyp selbst hängen davon ab, welche Bestätigungsmethode Sie auswählen.
Methode für die Domainbestätigung
Für Domains stehen zwei Bestätigungsmethoden zur Verfügung:
- DNS_CNAME
-
Ihre Anwendung erstellt einen neuen CNAME-Eintrag für die Domain des Inhabers, möglicherweise über dessen Domainregistrator, wobei das Token für die Eintragsdaten verwendet wird. Das Token besteht aus zwei Teilen, die durch ein Leerzeichen getrennt sind: Der erste Teil ist der Name des neuen CNAME-Eintrags und der zweite Teil der Wert des neuen CNAME-Eintrags.
- DNS_TXT
-
Ihre Anwendung erstellt einen neuen TXT-Eintrag für die Domain des Inhabers, möglicherweise über den Domain-Registrar, wobei das Token für die Eintragsdaten verwendet wird.
Weitere Informationen zur DNS-Bestätigungsmethode finden Sie in der Hilfe.
Methoden zur Websitebestätigung
Für Websites stehen drei Bestätigungsmethoden zur Verfügung:
- Datei
- Das Token wird von Ihrer Anwendung in Form einer Datei auf der Website des Inhabers platziert. Sie müssen eine Datei mit dem Namen erstellen, der dem Tokenstring entspricht und folgenden Inhalt hat:
google-site-verification: token
Wenn ein Nutzer beispielsweise Inhaber der Website http://www.beispiel.de/ ist und das zurückgegebene Token
google12cfc68677988bb4.html
ist, müssen Sie einfach eine Datei unter http://www.beispiel.de/google12cfc68677988bb4.html (auf der obersten Ebene der Website) mit folgendem Inhalt erstellen:google-site-verification: google12cfc8677988bb4.html
Weitere Informationen zur Dateibestätigungsmethode finden Sie in der Hilfe.
- Meta
-
Ihre Anwendung fügt das Token in Form eines HTML-
<meta>
-Tags in das<head>
-Element der Standarddatei (index.html, default.html usw.) auf der obersten Ebene der Inhaberwebsite ein. Eine HTML-Datei mit einem Meta-Bestätigungstoken könnte wie folgt aussehen:<html> <head> <title>Awesome Dive Sites</title> <meta name="google-site-verification" content="-dhsoFQadgDKJR7BsB6bc1j5yfqjUpg_b-1pFjr7o3x" /> </head> <body> ...
Weitere Informationen zur Meta-Überprüfungsmethode finden Sie in der Hilfe.
- Analytics
-
In Ihrer Anwendung wird ein vorhandener Google Analytics-Tracking-Code verwendet, der sich bereits auf der Website des Inhabers befindet. Damit der Tracking-Code funktioniert, muss er zum Analytics-Konto des Nutzers gehören und das Snippet muss sich im HEAD-Tag befinden. Weitere Informationen zur Bestätigungsmethode von Analytics finden Sie in der Analytics-Hilfe.
- Tag Manager
-
In Ihrer App wird ein Google Tag Manager-Containercode verwendet, der sich bereits auf der Website des Inhabers befindet. Der Containercode muss zu ihrem Tag Manager-Konto gehören. Weitere Informationen zur Tag Manager-Bestätigungsmethode finden Sie in der Hilfe.
Wenn Sie zuerst einige Websites manuell über die Benutzeroberfläche zur Websiteüberprüfung bestätigen, können Sie die wichtigsten Konzepte und Workflows besser verstehen.
Datenmodell
Webressource
Die Google Site Verification API wendet die REST-Semantik (HTTP GET
, POST
usw.) auf Entitäten an, die als Webressourcen bezeichnet werden. Eine Webressource ist eine Website oder Domain, die dem authentifizierten Nutzer gehört.
Hier ein Beispiel für eine Webressource:
{ "owners": [ "myself@example.com", "another@example.com" ], "id": "http%3A%2F%2Fwww.example.com%2F", "site": { "identifier": "http://www.example.com/", "type": "SITE" } }
Das Feld id
ist eine eindeutige Kennung für diese Webressource. Damit können Sie zum Abrufen und Ändern auf diese spezielle Webressource verweisen. Speichern Sie das Feld id
aus der Ausgabe des Vorgangs list zur späteren Verwendung als Kennung.
Das site
-Objekt enthält die URL oder den Domainnamen der Webressource und den Typ der Ressource. Websites werden mit dem Typ SITE
angegeben. Domains werden mit dem Typ INET_DOMAIN
angegeben.
Das Array owners
ist die vollständige Liste der Inhaber der Webressource, dargestellt durch ihre E-Mail-Adressen. Durch Hinzufügen oder Entfernen von E-Mail-Adressen zur Inhaberliste kann der authentifizierte Nutzer Mitinhaberberechtigungen gewähren oder die Inhaberschaft für andere Nutzer widerrufen. Zusätzliche Inhaber, die eigene Tokens auf der Website oder Domain platziert haben, werden zusammen mit ihren Mitinhabern ebenfalls in der Inhaberliste aufgeführt.
Nutzer, denen Mitinhaberrechte gewährt wurden, können auch Mitinhaberrechte gewähren, sofern es mindestens einen bestätigten Inhaber mit einem Token auf der Website gibt.
Webressourcensammlung
Die Webressourcensammlung ist eine vollständige Liste aller Webressourcen, die zum authentifizierten Nutzer gehören. Sie können die Inhaberschaft von Websites oder Domains ganz einfach bestätigen, indem Sie versuchen, der Webressourcensammlung des authentifizierten Nutzers neue Webressourcen hinzuzufügen. Nur bestätigte Websites oder Domains werden ihrer Sammlung hinzugefügt.
Wie bereits im Abschnitt Einschränkungen beschrieben, sind Webressourcen, die anderen Nutzern als dem authentifizierten Nutzer gehören, nicht über die Site Verification API zugänglich.