Quando è tutto pronto per eseguire il deployment della soluzione implementata oltre il tuo ambiente di sviluppo agli utenti della tua app, potresti dover svolgere passaggi aggiuntivi per rispettare i criteri OAuth 2.0 di Google. In questa guida, illustriamo come rispettare i problemi più comuni riscontrati dagli sviluppatori durante la preparazione dell'app per la produzione. In questo modo puoi raggiungere il pubblico più ampio possibile con errori limitati.
- Utilizzare progetti separati per i test e la produzione
- Gestire un elenco di contatti pertinenti per il progetto
- Rappresentare con precisione la tua identità
- Richiedi solo gli ambiti di cui hai bisogno
- Inviare app di produzione che utilizzano ambiti sensibili o con restrizioni per la verifica
- Utilizza solo i domini di tua proprietà
- Eseguire l'hosting di una home page per le app di produzione
- Utilizza URI di reindirizzamento e origini JavaScript sicuri
Utilizza progetti separati per i test e la produzione
I criteri OAuth di Google richiedono progetti separati per i test e la produzione. Alcune norme e alcuni requisiti si applicano solo alle app di produzione. Potresti dover creare e configurare un progetto separato che includa client OAuth corrispondente alla versione di produzione della tua app disponibile per tutti gli Account Google.
I client OAuth di Google utilizzati in produzione aiutano a fornire un ambiente di raccolta e archiviazione dei dati più stabile, prevedibile e sicuro rispetto ai client OAuth simili che testano o eseguono il debug della stessa applicazione. Il progetto di produzione può essere sottoposto a verifica e quindi essere soggetto a requisiti aggiuntivi per ambiti API specifici, che potrebbero includere valutazioni di sicurezza di terze parti.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Esamina i client OAuth in questo progetto che potrebbero essere associati al tuo livello di test. Se applicabile, crea client OAuth simili per i client di produzione all'interno del progetto di produzione.
- Attiva le API in uso dai tuoi clienti.
- Rivedi la configurazione della schermata per il consenso OAuth nel nuovo progetto.
I client OAuth di Google utilizzati in produzione non devono contenere ambienti di test, URI di reindirizzamento o origini JavaScript disponibili solo per te o per il tuo team di sviluppo. Di seguito sono riportati alcuni esempi:
- I server di test dei singoli sviluppatori
- Versioni di test o pre-release della tua app
Gestisci un elenco di contatti pertinenti per il progetto
Google e le singole API che attivi potrebbero doverti contattare in merito a modifiche ai propri servizi o a nuove configurazioni richieste per il tuo progetto e i relativi client. Rivedi le schede IAM del progetto per assicurarti che le persone pertinenti del tuo team abbiano accesso per modificare o visualizzare la configurazione del progetto. Questi account potrebbero anche ricevere email relative alle modifiche necessarie al progetto.
Un ruolo contiene un insieme di autorizzazioni che ti consente di eseguire azioni specifiche sulle risorse del progetto. Gli editor dei progetti dispongono di autorizzazioni per azioni che modificano lo stato, ad esempio la possibilità di apportare modifiche alla schermata per il consenso OAuth del progetto. I proprietari del progetto che dispongono di tutte le autorizzazioni di editor possono aggiungere o rimuovere gli account associati al progetto oppure eliminarlo. I proprietari del progetto possono anche fornire contesto sul motivo per cui potrebbero essere impostate le informazioni di fatturazione. I proprietari di progetti possono configurare i dati di fatturazione per un progetto che utilizza API a pagamento.
I proprietari e gli editor dei progetti devono essere sempre aggiornati. Puoi aggiungere più account pertinenti al tuo progetto per contribuire a garantire l'accesso continuo al progetto e la relativa manutenzione. Inviamo email a questi account quando ci sono notifiche sul tuo progetto o su aggiornamenti ai nostri servizi. Gli amministratori dell'organizzazione Google Cloud devono assicurarsi che a ogni progetto della loro organizzazione sia associato un contatto raggiungibile. Se non disponiamo di informazioni di contatto aggiornate per il tuo progetto, potresti perderti messaggi importanti che richiedono il tuo intervento.
Rappresentare con precisione la tua identità
Fornisci un nome dell'app valido e, facoltativamente, un logo da mostrare agli utenti. Queste informazioni sul brand devono rappresentare con precisione l'identità della tua applicazione. Le informazioni di branding dell'app vengono configurate da OAuth Consent Screen page.
Per le app di produzione, le informazioni sul brand definite nella schermata per il consenso OAuth devono essere verificate prima di essere mostrate agli utenti. Gli utenti potrebbero essere più propensi a concedere l'accesso alla tua app dopo aver completato la verifica del brand. Le informazioni di base dell'applicazione, tra cui nome, home page, termini di servizio e norme sulla privacy dell'app, vengono mostrate agli utenti nella schermata della concessione quando esaminano le concessioni esistenti o agli amministratori di Google Workspace che esaminano l'utilizzo dell'app da parte della loro organizzazione.
Google può revocare o sospendere l'accesso ai servizi API di Google e ad altri prodotti e servizi Google per le app che rappresentano in modo ingannevole la propria identità o tentano di ingannare gli utenti.
Richiedi solo gli ambiti di cui hai bisogno
Durante lo sviluppo dell'applicazione, potresti aver utilizzato un ambito di esempio fornito dall'API per creare una proof of concept all'interno della tua applicazione al fine di saperne di più sulle caratteristiche e funzionalità dell'API. Questi ambiti di esempio richiedono spesso più informazioni di quelle necessarie per l'implementazione finale della tua app, in quanto forniscono una copertura completa di tutte le azioni possibili per una determinata API. Ad esempio, l'ambito di esempio potrebbe richiedere autorizzazioni di lettura, scrittura ed eliminazione mentre l'applicazione richiede solo autorizzazioni di lettura. Richiedi le autorizzazioni pertinenti limitate alle informazioni fondamentali necessarie per implementare la tua applicazione.
Esamina la documentazione di riferimento per gli endpoint API chiamati dalla tua app e prendi nota degli ambiti necessari per accedere ai dati pertinenti necessari per l'app. Consulta eventuali guide all'autorizzazione offerte dall'API e descrivi i relativi ambiti in modo più dettagliato per includere l'utilizzo più comune. Scegli l'accesso ai dati minimo di cui la tua applicazione ha bisogno per potenziare le funzionalità correlate.
Per saperne di più su questo requisito, leggi la sezione Richiedere solo gli ambiti di cui hai bisogno dei criteri OAuth 2.0 e la sezione Richiedere autorizzazioni pertinenti delle Norme relative ai dati utente dei servizi API di Google.
Inviare app di produzione che utilizzano ambiti sensibili o con limitazioni per la verifica
Alcuni ambiti sono classificati come "sensibili" o "con restrizioni" e non possono essere utilizzati nelle app di produzione senza revisione. Inserisci tutti gli ambiti utilizzati dalla tua app di produzione nella configurazione della schermata per il consenso OAuth. Se l'app di produzione utilizza ambiti sensibili o con restrizioni, devi sottoporre a verifica l'utilizzo di questi ambiti prima di includere gli ambiti in una richiesta di autorizzazione.
Utilizza solo i domini di tua proprietà
La procedura di verifica della schermata per il consenso OAuth di Google richiede la verifica di tutti i domini associati alla home page, alle norme sulla privacy, ai Termini di servizio, agli URI di reindirizzamento o alle origini JavaScript autorizzati del progetto. Esamina l'elenco dei domini in uso dalla tua app, riassunto nella sezione Domini autorizzati dell'editor della schermata di consenso OAuth, e identifica i domini che non possiedi e che quindi non potresti verificare. Per verificare la proprietà dei domini autorizzati del tuo progetto, utilizza Google Search Console. Utilizza un Account Google associato al tuo API Console progetto come Proprietario o Editor.
Se il tuo progetto utilizza un provider di servizi con un dominio comune condiviso, ti consigliamo di attivare le configurazioni che consentano l'utilizzo del tuo dominio. Alcuni provider offrono di mappare i propri servizi a un sottodominio di un dominio che già possiedi.
Ospitare una home page per le app di produzione
Ogni app di produzione che utilizza OAuth 2.0 deve avere una home page accessibile pubblicamente. I potenziali utenti della tua app potrebbero visitare la home page per scoprire di più sulle caratteristiche e sulle funzionalità offerte dall'app. Gli utenti esistenti potrebbero esaminare l'elenco delle sovvenzioni esistenti e visitare la home page della tua app per ricordare loro il continuo utilizzo della tua offerta.
La home page dell'applicazione deve includere una descrizione della funzionalità dell'app, nonché i link a norme sulla privacy e termini di servizio facoltativi. La home page deve esistere su un dominio verificato di tua proprietà.
Utilizza URI di reindirizzamento sicuri e origini JavaScript
I client OAuth 2.0 per le app web devono proteggere i propri dati tramite URI di reindirizzamento HTTPS e origini JavaScript, non tramite HTTP normale. Google può rifiutare le richieste OAuth che non provengono da un contesto sicuro o che non risolvono in un contesto sicuro.
Valuta quali applicazioni e script di terze parti potrebbero avere accesso a token e altre credenziali degli utenti che tornano alla tua pagina. Limita l'accesso ai dati sensibili con le posizioni degli URI di reindirizzamento limitate alla verifica e allo stoccaggio dei dati dei token.
Passaggi successivi
Dopo aver verificato che la tua app sia conforme ai criteri di OAuth 2.0 in questa pagina, consulta Inviare la richiesta di verifica del brand per informazioni dettagliate sulla procedura di verifica.