在开发和部署使用 Google OAuth 2.0 的应用时,务必了解应用可能处于的不同状态,以及这些状态如何与 Google Workspace 管理员控件互动。本页简要介绍了 OAuth 应用 的发布状态、用户类型和验证要求。
确定应用类型
如需了解哪些政策和控件适用于您的项目,请先确定目标 受众:
Google OAuth 平台行为比较
下表简要介绍了发布状态、用户类型和 验证状态的不同配置如何影响应用行为和访问权限。这些行为受 OAuth 验证政策和 令牌过期规则的约束。
| 发布状态 | 用户类型 | 是否适用于测试用户? | 验证状态 | 备注 |
|---|---|---|---|---|
| 不适用 | 内部 | 否 | 不适用 | 组织内的所有用户都可以访问。无需验证。权限请求页面可能不会列出范围。适用于仅限内部使用的应用。 |
| 测试 | 外部 | 是 | 不适用 | 只有明确添加到测试用户许可名单中的用户才能访问该应用(最多 100 位测试用户)。例外情况:如果应用仅请求基本身份范围(openid、email、profile),则任何用户都可以访问,而无需在许可名单中。用户会看到一个警告界面,表明应用正在测试中,而不是标准的未经验证的应用屏幕。注意:除非应用的“用户类型”设置为内部 ,否则组织用户不受这些测试要求的限制。适用于开发和测试。 |
| 已发布 | 外部 | 否 | 未验证 | 任何 Google 用户都可以访问。强烈建议不要这样做。由于应用尚未完成品牌验证,因此应用的名称和徽标不会显示在权限请求页面上。此外,对于请求敏感范围或受限范围的应用,系统会向用户显示未经验证的应用警告(危险界面),并且总用户数上限为 100。 |
| 已发布 | 外部 | 否 | 已验证 | 任何 Google 用户都可以访问。对于请求敏感范围和受限范围的公开应用,这是必需的。应用名称、徽标和范围会显示在权限请求页面上,且不会显示警告(品牌和范围经过验证后)。 |
Google Workspace 环境中的管理员替换
Google Workspace 管理员可以对 OAuth 应用访问其 组织数据的方式进行重大控制,无论应用在 Google Cloud 控制台中的设置如何。这些控件在 Google Workspace 管理控制台的 API 控件 下进行管理。
- 通用控件: Google Workspace 管理员始终可以 屏蔽 任何 OAuth 应用,无论它是内部应用还是外部应用、测试应用还是已发布应用,或者已验证应用还是未经验证的应用,从而阻止其用户授权该应用。
- 内部应用: 这些应用通常在 Google Workspace 组织内受到隐式信任,尤其是当管理员启用“信任网域拥有的内部应用”时。 不过,管理员仍然可以应用“受信任”“受限”或“已屏蔽”等标签来微调 访问权限。您还可以配置 网域级委托 (DWD),以针对特定范围绕过用户同意。
- 外部应用:
- 未验证: 管理员不太可能信任这些应用,这些应用可能会被 屏蔽或限制。虽然管理员可以将其网域的未经验证的外部应用标记为 "受信任",但通常不建议这样做。
- 已验证: Google 验证可以建立信任,但 Google Workspace 管理员仍然拥有完全控制权。“已验证”状态不会 替换 Google Workspace 管理员的设置。管理员可以将应用标记为 受信任 (绕过一些管理员设置的范围限制)、 受限 (受服务限制)或 已屏蔽。
“受信任”状态替换: 当 Google Workspace 管理员将应用标记为 受信任 时,该应用将被视为该组织的内部应用。此 状态会替换组织用户的某些标准 OAuth 限制,例如 100 位测试用户上限,以及处于 测试 状态的应用的 7 天刷新令牌过期限制。
从本质上讲,Google 的验证流程是常规政策合规性的信号,但 Google Workspace 管理员对应用是否可以访问其 组织的数据拥有最终决定权。
后续步骤
如需详细了解如何为正式版应用做准备以及如何处理 Google Workspace 的特定注意事项,请参阅以下资源: