所有访问 Google API 的应用都必须验证其是否准确反映了其身份和意图,如 《Google 的 API 服务用户数据政策》中所述。为了保护您以及 Google 和您的应用的共享用户,您的意见征求页面和应用可能需要经过 Google 的验证。
如果您的应用符合以下所有条件,则需要接受验证:
- 在 Google API Console中,您的应用配置的用户类型设为外部。也就是说,您的应用可供拥有 Google 账号的任何用户使用。
- 您希望应用在 OAuth 权限请求页面上显示徽标或显示名称。
如果您添加经过验证的品牌信息,可以提高用户识别您的品牌并决定授予您的应用访问权限的可能性。此外,当用户或 Google Workspace 管理员审核有权访问账号的第三方应用和服务时,经过验证的品牌信息还可以减少撤消访问权限的次数。您提交验证申请后,OAuth 意见征求界面品牌验证流程通常需要 2-3 个工作日。
如果您未能提交品牌验证申请,用户可能会对您请求获取其数据的信任度降低,这可能会导致用户授权减少,日后被撤消的授权增多。
OAuth 权限请求页面
权限请求页面会告知用户谁在请求访问他们的数据,以及您的应用需要代表用户访问哪些类型的数据,如图 1 的框 2 中所突出显示。
当您的应用通过品牌验证流程并获得批准后,授予权限的账号更有可能清楚地了解应用的身份和用户数据政策。这样清楚地说明这些情况,有助于提高账号持有人在其 Google 账号页面上查看可能被撤消的访问权限时,授权您的请求并保留访问权限的可能性。您在 中的 OAuth 上配置的内容会填充以下组件:
- 您的应用名称和徽标(如图 1 的框 1 所示)
- 您的用户支持电子邮件地址,该地址会在您选择应用名称后显示(图 1 中的框 2)
- 指向您的隐私权政策和服务条款的链接(图 1 中的框 3)
已获授权的网域
在品牌验证流程中,Google 要求验证与应用的 OAuth 同意屏幕和凭据相关联的所有网域。我们要求您验证可在公共后缀上注册的域名组件:“顶级私有网域”。例如,如果 OAuth 意见征求页面配置为使用应用首页 https://sub.example.com/product,则会要求账号持有人验证 example.com 网域的所有权。
OAuth 权限请求页面编辑器的已获授权的网域部分需要包含应用网域部分的 URI 中使用的顶级专用网域。这些网域包括应用首页、隐私权政策和服务条款。已获授权的网域部分还需要包含在“Web 应用”OAuth 客户端类型中已获授权的重定向 URI 和/或 JavaScript 来源。
使用 Google Search Console 验证您已获授权的网域的所有权。具有网域所有者权限的 Google 账号必须与使用该已获授权网域的 API Console 项目相关联。如需详细了解如何在 Google Search Console 中验证域名,请参阅验证网站所有权。
为验证做好准备的步骤
所有使用 Google API 请求访问数据的应用都必须执行以下步骤才能完成品牌验证:
- 确认您的应用不属于验证要求的例外情况部分中的任何用例。
- 确保您的应用符合关联 API 或产品的品牌推广要求。例如,请参阅 Google 登录权限范围的品牌推广指南。
- 在 Google Search Console 中验证项目的已获授权的网域的所有权。使用与您的 API Console 项目关联的 Google 账号作为 Owner 或 Editor。
- 请确保 OAuth 权限请求页面上的所有品牌信息(例如应用名称、支持电子邮件地址、首页 URI、隐私权政策 URI 等)准确反映了应用的身份。
应用首页要求
请确保您的首页符合以下要求:
- 您的首页必须可供公众访问,而不仅仅是可供您网站的已登录用户访问。
- 您的首页与待审核应用之间的相关性必须明确。
- 指向 Google Play 商店中应用详情或其 Facebook 页面的链接不属于有效的应用首页。
应用隐私权政策链接要求
请确保应用的隐私权政策符合以下要求:
- 隐私权政策必须向用户显示,托管在与应用首页相同的网域中,并在 Google API Console的 OAuth 权限请求页面上提供指向该政策的链接。请注意,首页必须包含应用功能的说明,以及指向隐私权政策和可选服务条款的链接。
- 隐私权政策必须披露您的应用如何访问、使用、存储或分享 Google 用户数据。 您必须将 Google 用户数据的使用范围限制在已发布的隐私权政策中披露的做法。
如何提交应用以进行验证
项目用于整理您的所有 资源。项目由一组关联的 Google 账号(有权执行项目操作)、一组已启用的 API,以及这些 API 的结算、身份验证和监控设置组成。例如,一个项目可以包含一个或多个 OAuth 客户端,配置供这些客户端使用的 API,并配置在用户授权访问您的应用之前向其显示的 OAuth 同意屏幕。
如果您的任何 OAuth 客户端尚未准备好用于生产环境,我们建议您从请求验证的项目中将其删除。您可以在 中执行此操作。
如需提交以供验证,请按以下步骤操作:
- 确保您的应用符合 Google API 服务条款和 Google API 服务用户数据政策。
- 在 中及时更新项目关联账号的所有者和编辑者角色,以及 OAuth 权限请求页面的用户支持电子邮件地址和开发者联系信息。这样可确保团队中的正确成员会收到有关任何新要求的通知。
- 前往 OAuth 验证中心。
- 点击项目选择器按钮。
-
在随即显示的请选择对话框中,选择您的项目。如果您找不到项目,但知道项目 ID,则可以在浏览器中按以下格式构建网址:
?project=[PROJECT_ID]
将 [PROJECT_ID] 替换为您要使用的项目 ID。
- 选择修改应用按钮。
- 在 OAuth 同意屏幕页面上输入必要的信息,然后选择保存并继续按钮。
- 使用添加或移除镜重按钮声明应用请求的所有镜重。非敏感镜重部分中预先填充了 Google 登录所需的一组初始镜重。添加的镜重范围被归类为非敏感范围, sensitive, or restricted。
- 最多可以提供三个指向应用中相关功能的任何相关文档的链接。
-
在后续步骤中,提供系统要求提供的有关应用的任何其他信息。
- 如果您提供的应用配置需要验证,您可以提交应用以进行验证。填写必填字段,然后点击提交以开始验证流程。
您提交应用后,Google 的信任与安全团队会通过电子邮件跟进,告知您他们需要的任何其他信息或您必须完成的步骤。请查看开发者联系信息部分中的电子邮件地址,以及 OAuth 权限请求页面的支持电子邮件地址,以了解是否有其他信息需要提供。您还可以查看项目的 OAuth 同意屏幕页面,确认项目的当前审核状态,包括审核流程在等待您回复期间是否会暂停。
验证要求的例外情况
如果您的应用将用于以下部分中所述的任何场景,则无需提交以供审核。
个人使用
例如,如果您是应用的唯一用户,或者您的应用仅供少数用户使用,并且所有这些用户都是您个人认识的,您和少数用户可能愿意继续前往“应用未经验证”界面,并向您的个人账号授予对应用的访问权限。
在开发、测试或预演阶段使用的项目
为了遵守 Google OAuth 2.0 政策,我们建议您为测试环境和生产环境分别创建项目。我们建议您仅在希望向拥有 Google 账号的任何用户提供应用时,才提交应用以供验证。因此,如果您的应用处于开发、测试或预演阶段,则无需进行验证。
如果您的应用处于开发或测试阶段,您可以将发布状态保留为默认设置“测试”。此设置表示您的应用仍处于开发阶段,并且只能供添加到测试用户列表中的用户使用。您必须管理参与应用开发或测试的 Google 账号列表。
仅限服务自有数据
如果您的应用使用服务账号仅访问自己的数据,并且不会访问任何用户数据(与 Google 账号相关联),则无需提交以供验证。
如需了解什么是服务账号,请参阅 Google Cloud 文档中的服务账号部分。如需了解如何使用服务账号,请参阅为服务器到服务器应用使用 OAuth 2.0。
仅限内部使用
这意味着,只有您 Google Workspace 或 Cloud Identity 组织中的人员才能使用该应用。该项目必须归组织所有,并且其 OAuth 同意屏幕需要针对内部用户类型进行配置。在这种情况下,您的应用可能需要获得组织管理员的批准。如需了解详情,请参阅 Google Workspace 的其他注意事项。
- 详细了解公共应用和内部应用。
- 请参阅常见问题解答如何将应用标记为仅限内部使用?,了解如何将应用标记为内部应用。
全网域安装
如果您计划仅将应用定位到 Google Workspace 或 Cloud Identity 组织的用户,并且始终使用全网域安装,则您的应用无需进行应用验证。这是因为,在网域范围内安装后,网域管理员可以向第三方和内部应用授予访问您用户数据的权限。只有组织管理员才能将该应用添加到许可名单,以便在其网域中使用。
如需了解如何将应用设为全网域安装,请参阅常见问题解答 我的应用有使用其他 Google Workspace 网域的企业账号的用户。