الالتزام بسياسات OAuth 2.0

عندما تكون مستعدًا لنشر الحل الذي تم تنفيذه خارج بيئة التطوير لمستخدمي تطبيقك، قد تحتاج إلى اتخاذ خطوات إضافية للالتزام بسياسات OAuth 2.0 من Google. وفي هذا الدليل، نوضّح كيفية الامتثال إلى المشاكل الأكثر شيوعًا التي يواجهها المطوّرون عند إعداد تطبيقك للإنتاج. يساعدك ذلك في الوصول إلى أكبر عدد ممكن من الجمهور بأخطاء محدودة.

استخدام مشروعات منفصلة للاختبار والإنتاج

تتطلّب سياسات OAuth من Google مشاريع منفصلة للاختبار والإنتاج. لا تسري بعض السياسات والمتطلبات إلا على تطبيقات الإنتاج. قد تحتاج إلى إنشاء مشروع منفصل وإعداده يتضمّن عملاء OAuth يتوافقون مع إصدار الإنتاج من تطبيقك المتاح لجميع حسابات Google.

يساعد عملاء OAuth من Google المستخدَمون في الإنتاج في توفير بيئة جمع وتخزين بيانات أكثر ثباتًا وقابلية للتوقّع وأمانًا، مقارنةً بعملاء OAuth المماثلين الذين يختبرون التطبيق نفسه أو يصحح الأخطاء فيه. يمكن إرسال مشروعك الإنتاجي لإثبات الملكية، وبالتالي يخضع لمتطلبات إضافية خاصة لنطاقات محددة من واجهة برمجة التطبيقات، بما في ذلك تقييمات الأمان التي تقدّمها جهات خارجية.

  1. Go to the Google API Console. Click Create project, enter a name, and click Create.
  2. راجِع عملاء OAuth في هذا المشروع الذين قد يرتبطون بمستوى الاختبار. يمكنك إنشاء عملاء OAuth مماثلين، إن أمكن، لعملاء الإنتاج داخل مشروع الإنتاج الخاص بك.
  3. فعِّل أي واجهات برمجة تطبيقات يستخدمها عملاؤك.
  4. راجِع إعدادات شاشة موافقة OAuth في المشروع الجديد.

يجب ألّا يحتوي عملاء OAuth من Google المستخدَمون في الإنتاج على بيئات اختبار أو معرّفات موارد منتظمة (URI) لإعادة التوجيه أو مصادر JavaScript متاحة لك أو لفريق التطوير الذي تتعامل معه فقط. وفي ما يلي بعض الأمثلة:

  • خوادم الاختبار للمطورين الفرديين
  • إصدارات تجريبية أو إصدارات تجريبية من تطبيقك

الاحتفاظ بقائمة بجهات الاتصال ذات الصلة بالمشروع

قد تحتاج Google وواجهات برمجة التطبيقات التي تفعّلها إلى التواصل معك بشأن التغييرات على خدماتها أو الإعدادات الجديدة المطلوبة لمشروعك وعملائه. راجِع بيانات إدارة الهوية وإمكانية الوصول الخاصة بمشروعك للتأكّد من أنّ المستخدمين المعنيين في فريقك لديهم إمكانية الوصول لتعديل إعدادات مشروعك أو عرضها. وقد تتلقّى هذه الحسابات أيضًا رسائل إلكترونية بشأن التغييرات المطلوبة على مشروعك.

ويحتوي الدور على مجموعة من الأذونات التي تتيح لك تنفيذ إجراءات محددة على موارد المشروع. ويحصل محرِّرو المشاريع على أذونات لتنفيذ الإجراءات التي تعدِّل الحالة، مثل إمكانية إجراء تغيير على شاشة طلب الموافقة على OAuth الخاصة بمشروعك. ويمكن لمالكي المشاريع الذين لديهم جميع أذونات المحرّر إضافة حسابات مرتبطة بالمشروع أو إزالتها أو حذفه. يمكن لمالكي المشروعات أيضًا تقديم سياق لسبب ضبط معلومات الفوترة. يمكن لمالكي المشاريع إعداد معلومات الفوترة لمشروع يستخدم واجهات برمجة تطبيقات مدفوعة.

يجب إبقاء مالكي المشروع والمحررين عليه على اطلاع دائم. يمكنك إضافة عدة حسابات ذات صلة إلى مشروعك للمساعدة في ضمان استمرار الوصول إلى المشروع والصيانة ذات الصلة. ونرسل رسائل إلكترونية إلى هذه الحسابات عند تلقّي إشعارات حول مشروعك أو تحديثات في خدماتنا. على مشرفي المؤسسات في Google Cloud التأكّد من ربط جهة اتصال يمكن الوصول إليها بكل مشروع في مؤسستهم. إذا لم تتوفّر لدينا معلومات اتصال محدَّثة لمشروعك، قد تفوتك بعض الرسائل المهمة التي تتطلب اتخاذ إجراء.

تمثيل هويتك بدقة

تقديم اسم تطبيق صالح، ويمكنك اختياريًا تقديم شعار لعرضه للمستخدمين. ويجب أن تمثّل معلومات العلامة التجارية هذه هوية تطبيقك بدقة. يتم ضبط معلومات العلامة التجارية للتطبيق من بروتوكول OAuth Consent Screen page.

بالنسبة إلى تطبيقات الإنتاج، يجب التحقّق من معلومات العلامة التجارية المحدّدة في شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth قبل عرضها للمستخدمين. من المرجّح أن يمنح المستخدمون إذن الوصول إلى تطبيقك بعد أن يكملوا عملية إثبات ملكية العلامة التجارية. يتم عرض معلومات التطبيق الأساسية، التي تتضمّن اسم التطبيق والصفحة الرئيسية وبنود الخدمة وسياسة الخصوصية، للمستخدمين على شاشة المنح أو عند مراجعة المِنَح الحالية أو لمشرفي Google Workspace الذين يراجعون استخدام التطبيق في مؤسستهم.

يمكن لشركة Google إبطال أو تعليق الوصول إلى خدمات Google API ومنتجات Google وخدماتها الأخرى للتطبيقات التي تقدّم هوية مضلّلة أو تحاول خداع المستخدمين.

طلب النطاقات التي تحتاجها فقط

أثناء تطوير تطبيقك، من المحتمل أن تكون قد استخدمت مثالاً حول نطاق توفّره واجهة برمجة التطبيقات من أجل إنشاء مستند يثبت مفهوم التطبيق في تطبيقك لمعرفة المزيد من المعلومات حول ميزات واجهة برمجة التطبيقات ووظائفها. غالبًا ما تطلب أمثلة النطاقات هذه معلومات أكثر من عملية التنفيذ النهائي لاحتياجات تطبيقك، لأنّها توفّر تغطية شاملة لجميع الإجراءات الممكنة لواجهة برمجة تطبيقات معيّنة. على سبيل المثال، قد يطلب نموذج النطاق أذونات القراءة والكتابة والحذف، بينما لا يتطلّب تطبيقك سوى أذونات القراءة. اطلب الأذونات ذات الصلة التي تقتصر على المعلومات المهمة اللازمة لتنفيذ تطبيقك.

راجِع المستندات المرجعية لنقاط نهاية واجهة برمجة التطبيقات التي يطلبها تطبيقك وسجِّل النطاقات التي تتطلبها للوصول إلى البيانات ذات الصلة التي يحتاجها تطبيقك. يمكنك مراجعة أي أدلة تفويض توفّرها واجهة برمجة التطبيقات ووصف نطاقاتها بمزيد من التفصيل لتضمين الاستخدام الأكثر شيوعًا. اختَر الحد الأدنى من أذونات الوصول إلى البيانات التي يحتاجها تطبيقك لتشغيل الميزات ذات الصلة.

للاطّلاع على مزيد من المعلومات حول هذا الشرط، يُرجى قراءة قسم طلب النطاقات التي تحتاجها فقط من سياسات OAuth 2.0، بالإضافة إلى قسم طلب الأذونات ذات الصلة في سياسة بيانات مستخدمي خدمات Google API.

إرسال تطبيقات الإنتاج التي تستخدم نطاقات حساسة أو مشروطة لإثبات الملكية

يتم تصنيف بعض النطاقات على أنّها "حسّاسة" أو "محدودة"، ولا يمكن استخدامها في تطبيقات الإنتاج بدون مراجعة. أدخِل جميع النطاقات التي يستخدمها تطبيق الإنتاج في ضبط شاشة موافقة OAuth. إذا كان تطبيق الإنتاج يستخدم نطاقات حساسة أو مشروطة، يجب إرسال استخدامك لهذه النطاقات لإثبات الهوية قبل تضمينها في طلب التفويض.

استخدِم النطاقات التي تملكها فقط.

تتطلّب عملية التحقّق من شاشة الموافقة عبر OAuth في Google التحقّق من جميع النطاقات المرتبطة بالصفحة الرئيسية لمشروعك أو سياسة الخصوصية أو بنود الخدمة أو معرّفات الموارد المنتظمة المصرّح بها لإعادة التوجيه أو مصادر JavaScript المعتمَدة. يمكنك مراجعة قائمة النطاقات التي يستخدمها تطبيقك، والتي تم تلخيصها في قسم النطاقات المسموح بها ضمن محرّر شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth، وتحديد أي نطاقات لا تملكها ومن ثم يتعذّر عليك إثبات ملكيتها. لإثبات ملكية النطاقات المعتمَدة لمشروعك، استخدِم Google Search Console. استخدِم حساب Google مرتبط API Console بمشروعك بصفتك مالكًا أو محرِّرًا.

إذا كان مشروعك يستخدم مقدِّم خدمة مع نطاق مشترك ومشترك، ننصحك بتفعيل الإعدادات التي تسمح باستخدام نطاقك الخاص. يعرض بعض مقدّمي الخدمات ربط خدماتهم بنطاق فرعي من نطاق تملكه من قبل.

استضافة صفحة رئيسية لتطبيقات الإنتاج

يجب أن يكون لكل تطبيق إنتاج يستخدم OAuth 2.0 صفحة رئيسية متاحة للجميع. قد يزور المستخدمون المحتملون لتطبيقك الصفحة الرئيسية للحصول على مزيد من المعلومات عن الميزات والوظائف التي يوفّرها التطبيق. قد يراجع المستخدمون الحاليون قائمة المِنح الحالية وينتقلون إلى الصفحة الرئيسية لتطبيقك كتذكير باستمرارهم في استخدام العرض.

يجب أن تتضمن الصفحة الرئيسية لتطبيقك وصفًا لوظيفة التطبيق، بالإضافة إلى روابط تؤدي إلى سياسة خصوصية وبنود خدمة اختيارية. يجب أن تكون الصفحة الرئيسية موجودة على نطاق تم إثبات ملكيته ضمن ملكيتك.

استخدام معرّفات الموارد المنتظمة (URI) لإعادة التوجيه الآمن ومصادر JavaScript

على برامج OAuth 2.0 لتطبيقات الويب تأمين بياناتهم باستخدام معرّفات الموارد المنتظمة (URI) لإعادة التوجيه عبر HTTPS وأصول JavaScript، وليس باستخدام بروتوكول HTTP العادي. يمكن أن ترفض Google طلبات OAuth التي لا تنشأ من سياق آمن أو يتم حلها إليه.

ضع في اعتبارك التطبيقات والنصوص البرمجية التابعة لجهات خارجية التي قد تمتلك إذن الوصول إلى الرموز المميّزة وبيانات اعتماد المستخدم الأخرى التي يتم عرضها في صفحتك. يمكنك فرض قيود على الوصول إلى البيانات الحساسة من خلال المواقع الجغرافية لمعرّف الموارد المنتظم (URI) لإعادة التوجيه والتي تقتصر على التحقّق من بيانات الرمز المميّز وتخزينها.

الخطوات التالية

بعد التأكّد من امتثال تطبيقك لسياسات OAuth 2.0 في هذه الصفحة، يمكنك الاطّلاع على إرسال طلب التحقق من العلامة التجارية للحصول على تفاصيل حول عملية إثبات الهوية.