OAuth 用戶端驗證

會要求某些機密 OAuth 範圍的 Google OAuth 用戶端必須通過 Google 的驗證。

如果您未驗證指令碼專案的 OAuth 用戶端,當網域外的使用者嘗試授權您的指令碼時,就會看到「未經驗證的應用程式」畫面。「未經驗證的授權流程」可讓這些使用者授權未經驗證的應用程式,並使用這類應用程式,但必須先確認他們瞭解相關風險。而未經驗證的應用程式使用者總數也會受限。

如需詳細資訊,請參閱下列文章:

 

未經驗證的應用程式畫面
圖 1:未驗證的應用程式畫面
未經驗證的應用程式授權流程
圖 2:未經驗證的應用程式授權流程

 

這項變更會套用至 Google OAuth 網路用戶端,包括所有 Apps Script 專案所使用的用戶端。向 Google 驗證應用程式後,就可以從授權流程中移除未經驗證的應用程式畫面,讓使用者相信應用程式是否屬於非惡意性質。

未經驗證的應用程式

外掛程式、網頁應用程式和其他部署作業 (例如使用 Apps Script API 的應用程式) 可能需要進行驗證。

適用性

如果應用程式使用敏感的 OAuth 範圍,未經驗證的應用程式畫面可能會顯示在授權流程中。這個狀態 (以及產生的未經驗證應用程式授權流程) 取決於應用程式的發布來源帳戶,以及嘗試使用應用程式的帳戶。例如,在特定 Google Workspace 機構發布的應用程式,即使應用程式尚未驗證,也不會導致該網域中帳戶的未經驗證應用程式授權流程。

下表說明在哪些情況下會導致應用程式授權流程未經驗證:

客戶已通過驗證 發布者是客戶 A 的 Google Workspace 帳戶 指令碼位於客戶 A 的共用雲端硬碟中 發布商是 Gmail 帳戶
使用者是客戶 A 的 Google Workspace 帳戶 正常驗證流程 正常驗證流程 正常驗證流程 未驗證驗證流程
使用者不是客戶 A 的 Google Workspace 帳戶 正常驗證流程 未驗證驗證流程 未驗證驗證流程 未驗證驗證流程
使用者是 Gmail 帳戶1 正常驗證流程 未驗證驗證流程 未驗證驗證流程 未驗證驗證流程

1 任何 Gmail 帳戶,包括用於發布應用程式的帳戶。

使用者人數上限

為減少可能發生的濫用情形,透過未經驗證的應用程式流程授權應用程式的使用者人數設有限制。詳情請參閱 OAuth 應用程式使用者限制一文。

正在要求驗證

您可以要求驗證應用程式使用的 OAuth 用戶端及其相關 Cloud Platform (GCP) 專案。應用程式通過驗證後,使用者就不會再看到未經驗證的應用程式畫面。此外,您的應用程式將不再受到使用者上限的限制。

需求條件

如要提交 OAuth 用戶端進行驗證,您必須符合下列條件:

  1. 你必須在網域中擁有網站。網站必須代管可公開存取的頁面,說明您的應用程式及其隱私權政策。此外,您也必須向 Google 驗證網站擁有權

  2. 指令碼專案使用的 Google Cloud 專案必須是您有權編輯權限的標準 Google Cloud 專案。如果您的指令碼使用預設的 Google Cloud 專案,您必須切換至標準 Google Cloud 專案

此外,您必須提供下列必要的素材資源:

  • 應用程式名稱:應用程式名稱;這會顯示在同意畫面中。這個名稱必須與該應用程式在其他位置 (例如 Google Workspace Marketplace 中已發布應用程式) 使用的名稱相符。
  • 應用程式標誌。要顯示在同意畫面中的應用程式標誌 JPEG、PNG 或 BMP 圖片。檔案大小不得超過 1 MB。
  • 支援電子郵件。這是顯示在同意畫面上的電子郵件,方便使用者在需要應用程式支援時聯絡。這可以是您的電子郵件地址,或是您擁有或管理的 Google 群組。
  • 範圍:應用程式使用的所有範圍清單。您可以在 Apps Script 編輯器中查看範圍
  • 授權網域:這是含有應用程式相關資訊的網域清單。應用程式的所有連結 (例如必要的隱私權政策頁面) 都必須託管在授權網域上。
  • 應用程式首頁網址:說明應用程式的首頁位置。這個位置必須位於授權網域。
  • 應用程式隱私權政策網址。說明應用程式隱私權政策的頁面位置。這個位置必須位於授權網域。

除了上述必要資產之外,您也可以選擇提供應用程式服務條款網址,指向描述應用程式服務條款的頁面。如有提供,這個位置必須位於授權網域。

操作步驟

  1. 如果您尚未驗證所有用於託管指令碼專案的隱私權政策和其他資訊的授權網域,請先完成這個步驟。網域的已驗證擁有者必須是指令碼專案的編輯者或擁有者。
  2. 在 Apps Script 專案中,按一下「Overview」圖示 。在「專案 OAuth 範圍」下方,複製指令碼專案使用的範圍。

  3. 使用您收集的文字和網址素材資源,完成應用程式的 Google Cloud 專案的 OAuth 同意畫面

    1. 列出代管應用程式資訊 (例如隱私權政策) 的授權網域

    2. 如要新增應用程式範圍,請按一下「新增或移除範圍」。產生的對話方塊會嘗試自動偵測您在 Google Cloud 控制台中啟用的 API (例如進階服務) 的範圍。只要勾選對應的方塊,即可從這份清單中選取範圍。

      這份自動偵測到的清單不一定會包含 Apps Script 內建服務所使用的範圍。您必須在「手動新增範圍」下方輸入這些範圍。

      完成後,按一下「更新」。

  4. 輸入所有必要資訊後,按一下「儲存」

  5. 按一下「提交驗證」即可提出驗證要求。

多數驗證要求會在 24 至 72 小時內收到回覆。 您可以在 OAuth 同意畫面表單頂端查看驗證狀態。一旦驗證 OAuth 用戶端,應用程式就會通過驗證。