Rispettare i criteri OAuth 2.0

Quando è tutto pronto per eseguire il deployment della soluzione implementata oltre il tuo ambiente di sviluppo per gli utenti della tua app, potresti dover eseguire ulteriori passaggi per rispettare i criteri OAuth 2.0 di Google. In questa guida illustreremo come rispettare i problemi degli sviluppatori più comuni riscontrati durante la preparazione dell'app per la produzione. In questo modo puoi raggiungere il segmento di pubblico più ampio possibile con errori limitati.

Utilizza progetti separati per test e produzione

I criteri OAuth di Google richiedono progetti separati per i test e la produzione. Alcuni criteri e requisiti si applicano solo alle app di produzione. Potrebbe essere necessario creare e configurare un progetto separato che includa client OAuth corrispondenti alla versione di produzione della tua app disponibile per tutti gli Account Google.

I client OAuth di Google utilizzati in produzione consentono di fornire un ambiente di raccolta e archiviazione dei dati più stabile, prevedibile e sicuro rispetto a client OAuth simili che testano o eseguono il debug della stessa applicazione. Il tuo progetto di produzione può essere inviato per la verifica ed essere quindi soggetto a requisiti aggiuntivi per ambiti API specifici, che potrebbero includere valutazioni della sicurezza di terze parti.

  1. Go to the Google API Console. Click Create project, enter a name, and click Create.
  2. Esamina i client OAuth in questo progetto che potrebbero essere associati al tuo livello di test. Se applicabile, crea client OAuth simili per i client di produzione all'interno del progetto di produzione.
  3. Abilita tutte le API in uso dai tuoi client.
  4. Rivedi la configurazione della schermata di consenso OAuth nel nuovo progetto.

I client OAuth di Google utilizzati in produzione non devono contenere ambienti di test, URI di reindirizzamento o origini JavaScript disponibili solo per te o per il tuo team di sviluppo. Di seguito sono riportati alcuni esempi:

  • I server di test dei singoli sviluppatori
  • Versioni di test o pre-release della tua app

Mantieni un elenco dei contatti pertinenti per il progetto

Google e le singole API da te abilitate potrebbero doverti contattare per informarti di modifiche ai propri servizi o di nuove configurazioni richieste per il tuo progetto e i relativi client. Rivedi gli elenchi IAM del tuo progetto per assicurarti che le persone competenti del tuo team abbiano accesso per modificare o visualizzare la configurazione del tuo progetto. Questi account potrebbero anche ricevere email relative alle modifiche richieste al progetto.

Un ruolo contiene un insieme di autorizzazioni che consentono di eseguire azioni specifiche sulle risorse del progetto. Gli editor del progetto dispongono delle autorizzazioni per le azioni che modificano lo stato, ad esempio la possibilità di apportare modifiche alla schermata per il consenso OAuth del progetto. I proprietari del progetto con tutte le autorizzazioni di editor possono aggiungere o rimuovere account associati al progetto o eliminare il progetto. I proprietari del progetto possono anche fornire contesto sul motivo per cui potrebbero essere impostate le informazioni di fatturazione. I proprietari del progetto possono configurare i dati di fatturazione per un progetto che utilizza API a pagamento.

I proprietari e gli editor del progetto devono essere sempre aggiornati. Puoi aggiungere più account pertinenti al tuo progetto per garantire l'accesso continuo al progetto e alla relativa manutenzione. Inviamo email a questi account quando ci sono notifiche sul tuo progetto o aggiornamenti ai nostri servizi. Gli amministratori dell'organizzazione Google Cloud devono garantire che a ogni progetto della loro organizzazione sia associato un contatto raggiungibile. Se non disponiamo di dati di contatto aggiornati per il tuo progetto, potresti perderti messaggi importanti che richiedono il tuo intervento.

Rappresenta in modo accurato la tua identità

Fornisci un nome valido per l'app e, facoltativamente, un logo da mostrare agli utenti. Queste informazioni sul brand devono rappresentare in modo accurato l'identità della tua applicazione. Le informazioni di branding dell'app vengono configurate da OAuth Consent Screen page.

Per le app di produzione, le informazioni sul brand definite nella schermata per il consenso OAuth devono essere verificate prima di essere mostrate agli utenti. Gli utenti potrebbero essere più propensi a concedere l'accesso alla tua app dopo che ha completato la verifica del brand. Le informazioni di base dell'applicazione, che includono il nome, la home page, i Termini di servizio e le norme sulla privacy dell'app, vengono mostrate agli utenti nella schermata della concessione, quando esaminano le donazioni esistenti o agli amministratori di Google Workspace che controllano l'utilizzo delle app da parte della loro organizzazione.

Google può revocare o sospendere l'accesso ai servizi API di Google e ad altri prodotti e servizi Google per le app che rappresentano in modo ingannevole la propria identità o tentano di ingannare gli utenti.

Richiedi solo gli ambiti che ti servono

Durante lo sviluppo dell'applicazione, potresti aver utilizzato un ambito di esempio fornito dall'API per creare una proof of concept all'interno dell'applicazione e scoprire di più sulle caratteristiche e funzionalità dell'API. Questi ambiti di esempio richiedono spesso più informazioni rispetto all'implementazione finale delle esigenze dell'app, poiché forniscono una copertura completa di tutte le azioni possibili per una determinata API. Ad esempio, l'ambito di esempio potrebbe richiedere autorizzazioni di lettura, scrittura ed eliminazione mentre l'applicazione richiede solo autorizzazioni di lettura. Richiedi autorizzazioni pertinenti limitate alle informazioni fondamentali necessarie per implementare l'applicazione.

Consulta la documentazione di riferimento per gli endpoint API chiamati dall'app e prendi nota degli ambiti necessari per accedere ai dati pertinenti necessari per l'app. Consulta eventuali guide alle autorizzazioni offerte dall'API e descrivi gli ambiti in modo più dettagliato per includere l'utilizzo più comune. Scegli l'accesso ai dati minimo necessario all'applicazione per alimentare le relative funzionalità.

Per maggiori informazioni su questo requisito, leggi la sezione Richiedi solo gli ambiti necessari dei criteri OAuth 2.0, insieme alla sezione Richiedere le autorizzazioni pertinenti delle norme relative ai dati utente dei servizi API di Google.

Invia app di produzione che utilizzano ambiti sensibili o con restrizioni per la verifica

Alcuni ambiti sono classificati come "sensibili" o "con restrizioni" e non possono essere utilizzati nelle app di produzione senza revisione. Inserisci tutti gli ambiti utilizzati dall'app di produzione nella configurazione della schermata per il consenso OAuth. Se la tua app di produzione utilizza ambiti sensibili o con restrizioni, devi specificare il tuo utilizzo di questi ambiti per la verifica prima di includere gli ambiti in una richiesta di autorizzazione.

Utilizza solo i domini di tua proprietà

La procedura di verifica della schermata di consenso OAuth di Google richiede la verifica di tutti i domini associati alla home page, alle norme sulla privacy, ai Termini di servizio, agli URI di reindirizzamento autorizzati o alle origini JavaScript autorizzate del tuo progetto. Esamina l'elenco dei domini utilizzati dalla tua app, riepilogato nella sezione Domini autorizzati dell'editor della schermata per il consenso OAuth, e identifica i domini che non sono di tua proprietà e che pertanto non potresti verificare. Per verificare la proprietà dei domini autorizzati del tuo progetto, utilizza Google Search Console. Utilizza un Account Google associato al tuo API Console progetto come proprietario o editor.

Se il tuo progetto utilizza un fornitore di servizi con un dominio comune e condiviso, ti consigliamo di abilitare configurazioni che consentano l'utilizzo del tuo dominio. Alcuni provider si offrono di mappare i loro servizi a un sottodominio di un dominio che già possiedi.

Ospita una home page per le app di produzione

Ogni app di produzione che utilizza OAuth 2.0 deve avere una home page pubblicamente accessibile. I potenziali utenti della tua app potrebbero visitare la home page per scoprire di più sulle caratteristiche e funzionalità offerte dall'app. Gli utenti esistenti potrebbero rivedere il proprio elenco di donazioni esistenti e visitare la home page della tua app per ricordargli che continueranno a utilizzare la tua offerta.

La home page dell'applicazione deve includere una descrizione della funzionalità dell'app, nonché link alle norme sulla privacy e a termini di servizio facoltativi. La home page deve esistere su un dominio verificato di tua proprietà.

Utilizza URI di reindirizzamento sicuri e origini JavaScript

I client OAuth 2.0 per le app web devono proteggere i propri dati utilizzando URI di reindirizzamento HTTPS e origini JavaScript, non HTTP semplici. Google può rifiutare le richieste OAuth che non provengono da un contesto sicuro o che non sono risolte in un contesto sicuro.

Valuta quali applicazioni e script di terze parti potrebbero avere accesso ai token e ad altre credenziali utente che tornano alla tua pagina. Limita l'accesso ai dati sensibili con località degli URI di reindirizzamento limitate alla verifica e all'archiviazione dei dati dei token.

Passaggi successivi

Dopo aver verificato che la tua app rispetti le norme OAuth 2.0 riportate in questa pagina, consulta Inviare per la verifica del brand per maggiori dettagli sulla procedura di verifica.