所有存取 Google API 的應用程式都必須驗證,確保其正確代表其身分和意圖,符合《Google API 服務使用者資料政策》的規定。為保護您和 Google 與應用程式的共用使用者,您的同意畫面和應用程式可能需要經過 Google 驗證。
如果應用程式符合下列所有條件,就必須進行驗證:
- 在 Google API Console中,應用程式的設定會設為 External 使用者類型。也就是說,凡是擁有 Google 帳戶的使用者都能存取您的應用程式。
- 您希望應用程式在 OAuth 同意畫面中顯示標誌或顯示名稱。
如果您加入經過驗證的品牌資訊,使用者就更有可能認出您的品牌,並決定授予應用程式存取權。此外,如果使用者或 Google Workspace 系統管理員檢查可存取帳戶的第三方應用程式和服務,經過驗證的品牌資訊也能減少日後撤銷的次數。您提交驗證申請後,OAuth 同意畫面品牌驗證程序通常需要 2 到 3 個工作天才能完成。
如果您未能提交品牌驗證申請,使用者可能會對您要求他們提供資料的行為失去信任,導致日後使用者授權人數減少,並且更多人撤銷授權。
OAuth 同意畫面
同意畫面會告知使用者誰要求存取其資料,以及應用程式需要代表他們存取哪種類型的資料,如圖 1 的方塊 2 所示。
當應用程式完成品牌驗證程序並獲得核准後,授予權限的帳戶更有可能清楚瞭解應用程式的身分和使用者資料政策。這樣一來,帳戶持有人就能清楚瞭解您的要求,並在 Google 帳戶頁面中查看可能的撤銷作業,進而提高授權要求的核准機率,並維持存取權。您在 中為 OAuth 設定的內容會填入下列元件:
- 應用程式名稱和標誌 (如圖 1 的方塊 1 所示)
- 您的使用者支援電子郵件地址,會在選取應用程式名稱後顯示 (圖 1 的方塊 2)
- 隱私權政策和服務條款的連結 (圖 1 的方塊 3)
授權網域
在品牌驗證程序中,Google 會要求驗證與應用程式 OAuth 同意畫面和憑證相關聯的所有網域。我們要求您驗證可在公開字尾註冊的網域元件:「頂級私人網域」。舉例來說,如果 OAuth 同意畫面是使用 https://sub.example.com/product 應用程式首頁進行設定,就會要求帳戶持有人驗證 example.com 網域的擁有權。
OAuth 同意畫面編輯器的「已授權網域」部分必須包含「應用程式網域」部分 URI 中使用的頂層私人網域。這些網域包括應用程式首頁、隱私權政策和服務條款。「已授權的網域」部分也必須納入「網路應用程式」OAuth 用戶端類型中授權的重新導向 URI 和/或 JavaScript 來源。
使用 Google Search Console 驗證已授權網域的擁有權。具備網域擁有者權限的 Google 帳戶必須與使用該授權網域的 API Console 專案建立關聯。如要進一步瞭解 Google Search Console 中的網域驗證,請參閱「驗證網站擁有權」。
驗證作業的準備步驟
所有使用 Google API 要求存取資料的應用程式,都必須完成下列步驟,才能完成品牌驗證:
- 確認您的應用程式不屬於「驗證要求例外狀況」一節中的任何用途。
- 請確認應用程式符合相關 API 或產品的品牌化規定。例如,請參閱 Google 登入權限的品牌宣傳指南。
- 在 Google Search Console 中驗證專案的授權網域擁有權。使用與 API Console 專案相關聯的 Google 帳戶,以擁有者或編輯者的身分登入。
- 確認 OAuth 同意聲明畫面上的所有品牌資訊 (例如應用程式名稱、支援電子郵件、首頁 URI、隱私權政策 URI 等) 如實代表應用程式的身分。
應用程式首頁規定
請確認首頁符合下列規定:
- 首頁必須開放公開存取,而非僅限網站登入使用者存取。
- 首頁與審查中的應用程式必須相關。
- 應用程式在 Google Play 商店或 Facebook 頁面上的資訊頁面連結,並非有效的應用程式首頁。
應用程式隱私權政策連結規定
請確認應用程式的隱私權政策符合下列規定:
- 隱私權政策必須對使用者可見,並與應用程式首頁位於相同網域,且在 Google API Console的 OAuth 同意畫面中提供連結。請注意,首頁必須包含應用程式功能的說明,以及隱私權政策和選用服務條款的連結。
- 隱私權政策必須揭露應用程式存取、使用、儲存或分享 Google 使用者資料的方式。 您必須將 Google 使用者資料的使用範圍限制在已發布的隱私權政策中揭露的做法。
如何將應用程式送交驗證
專案可整理所有 資源。專案是由一組相關聯的 Google 帳戶組成,這些帳戶具有執行專案作業的權限,以及一組已啟用的 API,以及這些 API 的帳單、驗證和監控設定。舉例來說,專案可以包含一或多個 OAuth 用戶端,並設定 API 供這些用戶端使用,以及設定 OAuth 同意畫面,讓使用者在授權存取應用程式前先看到這項畫面。
如果任何 OAuth 用戶端尚未準備好用於實際工作環境,建議您從要求驗證的專案中刪除這些用戶端。您可以在 中執行這項操作。
如要提交驗證申請,請按照下列步驟操作:
- 請確認您的應用程式符合《Google API 服務條款》和《Google API 服務使用者資料政策》的規定。
- 請在 中,將專案相關聯帳戶的擁有者和編輯者角色保持在最新狀態,以及 OAuth 同意聲明畫面的使用者支援電子郵件和開發人員聯絡資訊。這可確保團隊中的正確成員收到任何新規定的通知。
- 前往 OAuth 驗證中心。
- 按一下「專案選擇器」按鈕。
-
在隨即顯示的「Select from」對話方塊中,選取所需專案。如果找不到專案,但您知道專案 ID,可以在瀏覽器中使用下列格式建構網址:
?project=[PROJECT_ID]
將 [PROJECT_ID] 替換為要使用的專案 ID。
- 選取「編輯應用程式」按鈕。
- 在 OAuth 同意畫面頁面上輸入必要資訊,然後選取「儲存並繼續」按鈕。
- 請使用「新增或移除範圍」按鈕,宣告應用程式要求的所有範圍。「非敏感範圍」部分會預先填入 Google 登入所需的初始範圍組合。新增的範圍會歸類為非機密範圍 sensitive, or restricted。
- 請提供最多三個相關文件連結,說明應用程式中相關功能的相關資訊。
-
在後續步驟中,請提供應用程式相關的任何額外資訊。
- 如果您提供的應用程式設定需要驗證,您可以提交應用程式進行驗證。填妥必填欄位後,按一下「提交」即可開始驗證程序。
提交應用程式後,Google 信任與安全團隊會透過電子郵件回覆,告知您需要提供的其他資訊,或必須完成的步驟。請檢查「開發人員聯絡資訊」部分的電子郵件地址,以及 OAuth 同意畫面的支援電子郵件地址,瞭解是否有其他資訊要求。您也可以查看專案的 OAuth 同意畫面頁面,確認專案目前的審查狀態,包括在等待您回覆時,審查程序是否已暫停。
驗證規定的例外狀況
如果您的應用程式將用於下列章節所述的任何情境,則不必送交審查。
個人使用
一個用途是,如果您是應用程式的唯一使用者,或是應用程式只有少數使用者,且您都認識這些使用者,您和少數使用者可能會覺得,直接略過未經驗證的應用程式畫面,並授予個人帳戶存取應用程式的權限,會比較方便。
在開發、測試或前置環境中使用的專案
為了遵守 Google OAuth 2.0 政策,建議您為測試環境和實際工作環境建立不同的專案。如要讓擁有 Google 帳戶的所有使用者都能存取您的應用程式,建議您只提交應用程式進行驗證。因此,如果您的應用程式處於開發、測試或預備階段,則不需要驗證。
如果應用程式處於開發或測試階段,您可以將發布狀態保留在預設的測試狀態。這項設定表示您的應用程式仍在開發階段,只有您新增至測試使用者清單的使用者才能存取。您必須管理應用程式開發或測試作業所涉及的 Google 帳戶清單。
僅限服務擁有的資料
如果您的應用程式使用服務帳戶僅存取自身資料,且不會存取任何使用者資料 (已連結至 Google 帳戶),則您不需要提交驗證。
如要瞭解服務帳戶,請參閱 Google Cloud 說明文件中的「服務帳戶」一文。如需服務帳戶的使用說明,請參閱「針對伺服器對伺服器應用程式使用 OAuth 2.0」。
僅限內部使用
也就是說,只有 Google Workspace 或 Cloud Identity 機構的使用者才能使用這個應用程式。專案必須由機構擁有,且其 OAuth 同意畫面需要針對內部使用者類型進行設定。在這種情況下,您的應用程式可能需要組織管理員核准。詳情請參閱「Google Workspace 的其他注意事項」。
- 進一步瞭解公開與內部應用程式。
- 如要瞭解如何將應用程式標示為內部應用程式,請參閱常見問題解答:如何將應用程式標示為僅限內部使用?
全網域安裝
如果您打算讓應用程式只鎖定 Google Workspace 或 Cloud Identity 機構的使用者,並一律使用全網域安裝,則應用程式就不需要驗證。這是因為全網域安裝作業可讓網域管理員授權第三方和內部應用程式存取使用者資料。只有機構管理員可以將應用程式新增至允許清單,以便在其網域中使用。
如要瞭解如何讓應用程式成為全網域安裝,請參閱「我的應用程式有使用其他 Google Workspace 網域企業帳戶的使用者」這篇常見問題文章。