Rispettare i criteri OAuth 2.0

Quando è tutto pronto per eseguire il deployment della soluzione implementata oltre l'ambiente di sviluppo per gli utenti della tua app, potresti dover eseguire ulteriori passaggi per rispettare i Criteri OAuth 2.0 di Google. In questa guida, illustriamo come rispettare i problemi più comuni riscontrati dagli sviluppatori durante la preparazione dell'app per la produzione. In questo modo, puoi raggiungere il pubblico più ampio possibile con un numero ridotto di errori.

Utilizza progetti separati per i test e la produzione

Le norme di OAuth di Google richiedono progetti distinti per i test e la produzione. Alcune norme e alcuni requisiti si applicano solo alle app di produzione. Potresti dover creare e configurare un progetto separato che includa client OAuth corrispondenti alla versione di produzione della tua app disponibile per tutti gli Account Google.

I client OAuth di Google utilizzati in produzione contribuiscono a fornire un ambiente di raccolta e archiviazione dei dati più stabile, prevedibile e sicuro rispetto ai client OAuth simili che testano o eseguono il debug della stessa applicazione. Il progetto di produzione può essere sottoposto a verifica e quindi essere soggetto a requisiti aggiuntivi per ambiti API specifici, che potrebbero includere valutazioni di sicurezza di terze parti.

  1. Go to the Google API Console. Click Create project, enter a name, and click Create.
  2. Esamina i client OAuth in questo progetto che potrebbero essere associati al tuo livello di test. Se possibile, crea client OAuth simili per i client di produzione all'interno del progetto di produzione.
  3. Attiva le API in uso dai tuoi clienti.
  4. Rivedi la configurazione della schermata per il consenso OAuth per il nuovo progetto in di
    5. .

I client OAuth di Google utilizzati in produzione non devono contenere ambienti di test, URI di reindirizzamento o origini JavaScript disponibili solo per te o per il tuo team di sviluppo. Di seguito sono riportati alcuni esempi:

  • I server di test dei singoli sviluppatori
  • Versioni di test o pre-release della tua app

Mantenere un elenco di contatti pertinenti per il progetto

Google e le singole API che attivi potrebbero doverti contattare in merito a modifiche ai propri servizi o a nuove configurazioni richieste per il tuo progetto e i relativi client. Rivedi le schede IAM del progetto per assicurarti che le persone pertinenti del tuo team abbiano accesso per modificare o visualizzare la configurazione del progetto. Questi account potrebbero anche ricevere email relative alle modifiche necessarie al progetto.

Un ruolo contiene un insieme di autorizzazioni che ti consente di eseguire azioni specifiche sulle risorse del progetto. Gli editor dei progetti dispongono di autorizzazioni per azioni che modificano lo stato, ad esempio la possibilità di apportare modifiche alla schermata per il consenso OAuth del progetto. I proprietari del progetto che dispongono di tutte le autorizzazioni di editor possono aggiungere o rimuovere gli account associati al progetto oppure eliminarlo. I proprietari del progetto possono anche fornire il contesto sul motivo per cui le informazioni di fatturazione potrebbero essere impostate. I proprietari di progetti possono configurare i dati di fatturazione per un progetto che utilizza API a pagamento.

I proprietari e gli editor dei progetti devono essere aggiornati. Puoi aggiungere più account pertinenti al progetto per contribuire a garantire l'accesso continuo al progetto e la relativa manutenzione. Inviamo email a questi account quando ci sono notifiche relative al tuo progetto o aggiornamenti ai nostri servizi. Gli amministratori dell'organizzazione Google Cloud devono assicurarsi che a ogni progetto della loro organizzazione sia associato un contatto raggiungibile. Se non disponiamo di informazioni di contatto aggiornate per il tuo progetto, potresti perderti messaggi importanti che richiedono il tuo intervento.

Rappresentare con precisione la tua identità

Fornisci un nome dell'app valido e, facoltativamente, un logo da mostrare agli utenti. Queste informazioni sul brand devono rappresentare con precisione l'identità della tua applicazione. Le informazioni sul branding dell'app vengono configurate da OAuth .

Per le app di produzione, le informazioni sul brand definite nella schermata di consenso OAuth devono essere verificate prima di essere mostrate agli utenti. Gli utenti potrebbero essere più propensi a concedere l'accesso alla tua app dopo aver completato la verifica del brand. Le informazioni di base dell'applicazione, tra cui nome, home page, termini di servizio e norme sulla privacy dell'app, vengono mostrate agli utenti nella schermata della concessione quando esaminano le concessioni esistenti o agli amministratori di Google Workspace che esaminano l'utilizzo dell'app da parte della loro organizzazione.

Google può revocare o sospendere l'accesso ai servizi API di Google e ad altri prodotti e servizi Google per le app che rappresentano in modo ingannevole la propria identità o tentano di ingannare gli utenti.

Richiedi solo gli ambiti di cui hai bisogno

Durante lo sviluppo dell'applicazione, potresti aver utilizzato un ambito di esempio fornito dall'API per creare una prova di concetto all'interno dell'applicazione per scoprire di più sulle funzionalità dell'API. Questi ambiti di esempio richiedono spesso più informazioni di quelle necessarie per l'implementazione finale della tua app, in quanto forniscono una copertura completa di tutte le azioni possibili per una determinata API. Ad esempio, l'ambito di esempio potrebbe richiedere autorizzazioni di lettura, scrittura ed eliminazione, mentre la tua applicazione richiede solo autorizzazioni di lettura. Richiedi le autorizzazioni pertinenti limitate alle informazioni fondamentali necessarie per implementare la tua applicazione.

Esamina la documentazione di riferimento per gli endpoint API chiamati dalla tua app e prendi nota degli ambiti di cui hanno bisogno per accedere ai dati pertinenti di cui la tua app ha bisogno. Esamina le guide all'autorizzazione offerte dall'API e descrivi i relativi ambiti in modo più dettagliato in modo da includere l'utilizzo più comune. Scegli l'accesso ai dati più limitato di cui la tua applicazione ha bisogno per supportare le funzionalità correlate.

Per ulteriori informazioni su questo requisito, leggi la sezione Richiedi solo gli ambiti di cui hai bisogno delle Norme di OAuth 2.0, nonché la sezione Richiedi autorizzazioni pertinenti delle Norme sui dati utente: servizi API di Google.

Inviare per la verifica le app di produzione che utilizzano ambiti sensibili o con restrizioni

Alcuni ambiti sono classificati come "sensibili" o "con restrizioni" e non possono essere utilizzati nelle app di produzione senza revisione. Inserisci tutti gli ambiti utilizzati dalla tua app di produzione nella configurazione della schermata per il consenso OAuth. Se la tua app di produzione utilizza ambiti sensibili o con restrizioni, devi inviare la richiesta di verifica per l'utilizzo di questi ambiti prima di includerli in una richiesta di autorizzazione.

Utilizza solo i domini di tua proprietà

La procedura di verifica della schermata per il consenso OAuth di Google richiede la verifica di tutti i domini associati alla home page, alle norme sulla privacy, ai Termini di servizio, agli URI di reindirizzamento o alle origini JavaScript autorizzati del progetto. Esamina l'elenco dei domini in uso dalla tua app, riassunto nella sezione Domini autorizzati dell'editor della schermata di consenso OAuth, e identifica i domini che non possiedi e che quindi non potresti verificare. Per verificare la proprietà dei domini autorizzati del tuo progetto, utilizza Google Search Console. Utilizza un Account Google associato al tuo API Console progetto come proprietario o editor.

Se il tuo progetto utilizza un provider di servizi con un dominio comune condiviso, ti consigliamo di attivare le configurazioni che consentano l'utilizzo del tuo dominio. Alcuni provider offrono di mappare i propri servizi a un sottodominio di un dominio che già possiedi.

Ospitare una home page per le app di produzione

Ogni app di produzione che utilizza OAuth 2.0 deve avere una home page accessibile pubblicamente. I potenziali utenti della tua app potrebbero visitare la home page per scoprire di più sulle caratteristiche e sulle funzionalità offerte dall'app. Gli utenti esistenti potrebbero esaminare il loro elenco di sovvenzioni esistenti e visitare la home page della tua app per ricordare loro il continuo utilizzo della tua offerta.

La home page dell'applicazione deve includere una descrizione della funzionalità dell'app, nonché i link a norme sulla privacy e termini di servizio facoltativi. La home page deve esistere su un dominio verificato di tua proprietà.

Utilizza URI di reindirizzamento sicuri e origini JavaScript

I client OAuth 2.0 per le app web devono proteggere i propri dati utilizzando URI di reindirizzamento HTTPS e origini JavaScript, non HTTP normale. Google può rifiutare le richieste OAuth che non provengono da un contesto sicuro o che non risolvono in un contesto sicuro.

Valuta quali applicazioni e script di terze parti potrebbero avere accesso a token e altre credenziali degli utenti che tornano alla tua pagina. Limita l'accesso ai dati sensibili con le posizioni degli URI di reindirizzamento limitate alla verifica e allo stoccaggio dei dati dei token.

Passaggi successivi

Dopo aver verificato che la tua app sia conforme ai criteri di OAuth 2.0 in questa pagina, consulta Inviare la richiesta di verifica del brand per informazioni dettagliate sulla procedura di verifica.