所有访问 Google API 的应用都必须验证其是否准确地表示了其身份和意图,如 Google 的 API 服务用户数据政策中所述。为了保护您和 Google 以及您应用的共享用户,您的同意屏幕和应用可能需要经过 Google 的验证。
如果您的应用符合以下所有条件,则需要进行验证:
- 在 Google API Console中,您的应用配置为 External 用户类型。这意味着,您的应用可供拥有 Google 账号的任何用户使用。
- 您希望应用在 OAuth 权限请求页面上展示徽标或显示名称。
如果您添加经过验证的品牌信息,则可以提高用户识别您的品牌并决定向您的应用授予访问权限的可能性。经过验证的品牌信息还可以减少日后用户或 Google Workspace 管理员查看有权访问账号的第三方应用和服务时撤消权限的情况。提交验证申请后,OAuth 意见征求屏幕品牌验证流程通常需要 2-3 个工作日。
如果您未能提交品牌验证申请,用户可能会对您请求其数据的行为失去信任,这可能会导致日后获得的用户授权减少,而用户撤消授权的情况增多。
OAuth 权限请求页面
权限请求页面会告诉用户谁在请求访问他们的数据,以及您的应用需要代表他们访问哪些类型的数据,如图 1 的方框 2 中突出显示的内容所示。
当您的应用通过品牌验证流程并获得批准后,授予权限的账号更有可能清楚了解您的应用的身份和用户数据政策。这种清晰的理解可以提高账号持有人授权您的请求的可能性,并在其Google 账号页面上查看可能撤消的权限时,保持您的访问权限。您在 OAuth Branding page 中配置的内容 Cloud Console 会填充以下组件:
- 您的应用名称和徽标(如图 1 的方框 1 所示)
- 您的用户支持电子邮件地址,该地址会在选择应用名称后显示(图 1 中的方框 2)
- 指向您的隐私权政策和服务条款的链接(图 1 中的方框 3)
已获授权的网域
在品牌验证流程中,Google 要求验证与应用的 OAuth 权限请求页面和凭据相关联的所有网域。我们会要求您验证公共后缀上可供注册的网域组件,即“顶级私有网域”。例如,如果 OAuth 权限请求页面配置的应用首页为 https://sub.example.com/product,则会要求账号持有人验证 example.com 网域的所有权。
OAuth 权限请求页面编辑器的已获授权的网域部分需要包含应用网域部分的 URI 中使用的顶级专用网域。这些网域包括应用首页、隐私权政策和服务条款。已获授权的网域部分还需要包含在“Web 应用”OAuth 客户端类型中已获授权的重定向 URI 和/或 JavaScript 来源。
使用 Google Search Console 验证授权网域的所有权。具有网域所有者权限的 Google 账号必须与使用相应授权网域的 API Console 项目相关联。如需详细了解 Google Search Console 中的网域验证,请参阅验证网站所有权。
准备验证的步骤
所有使用 Google API 请求访问数据的应用都必须执行以下步骤才能完成品牌验证:
- 确认您的应用不属于验证要求例外情况部分中的任何用例。
- 确保您的应用符合相关联的 API 或产品的品牌推广要求。例如,请参阅 Google 登录范围的品牌推广指南。
- 在 Google Search Console 中验证项目授权网域的所有权。使用与您的 API Console 项目关联的 Google 账号(作为所有者或编辑者)。
- 确保 OAuth 权限请求页面上的所有品牌信息(例如应用名称、支持电子邮件地址、首页 URI、隐私权政策 URI 等)都能准确反映应用的身份。
应用首页要求
请确保您的首页符合以下要求:
- 您的首页必须可公开访问,而不仅仅是可供网站的已登录用户访问。
- 首页与正在接受审核的应用之间的相关性必须明确。
- 指向应用在 Google Play 商店中的商品详情或其 Facebook 页面的链接不属于有效的应用首页。
应用隐私权政策链接要求
请确保您应用的隐私权政策符合以下要求:
- 隐私权政策必须对用户可见,托管在与应用首页相同的网域中,并且在 Google API Console的 OAuth 权限请求页面上提供指向该政策的链接。请注意,首页必须包含应用的功能说明,以及指向隐私权政策和可选服务条款的链接。
- 隐私权政策必须披露您的应用访问、使用、存储或分享 Google 用户数据的方式。 您必须将 Google 用户数据的使用范围限制在您已发布的隐私权政策中披露的做法范围内。
如何提交应用进行验证
Google Cloud Console 项目用于组织您的所有 Cloud Console 资源。项目包含一组有权执行项目操作的相关联 Google 账号、一组已启用的 API,以及这些 API 的结算、身份验证和监控设置。例如,一个项目可以包含一个或多个 OAuth 客户端,配置供这些客户端使用的 API,以及配置一个 OAuth 权限请求页面,该页面会在用户授权访问您的应用之前向其显示。
如果您的任何 OAuth 客户端尚未准备好投入生产,我们建议您从申请验证的项目中将其删除。您可以在 Clients page中执行此操作。
如需提交验证申请,请按以下步骤操作:
- 确保您的应用符合《Google API 服务条款》和《Google API 服务用户数据政策》。
- 在 Cloud Console中,及时更新项目关联账号的所有者和编辑者角色,以及 OAuth 权限请求页面的用户支持电子邮件地址和开发者联系信息。这样可确保您的团队中合适的成员收到有关任何新要求的通知。
- 前往 Cloud ConsoleOAuth 验证中心。
- 点击项目选择器按钮。
-
在随即显示的请选择对话框中,选择您的项目。如果您找不到项目,但知道项目 ID,则可以在浏览器中按以下格式构建网址:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
将 [PROJECT_ID] 替换为您要使用的项目 ID。
- 选择修改应用按钮。
- 在 OAuth 同意屏幕页面上输入必要的信息,然后选择保存并继续按钮。
- 使用添加或移除范围按钮声明应用请求的所有范围。非敏感范围部分会预先填充一组 Google 登录所需的初始范围。添加的范围被归类为非敏感范围,即 sensitive, or restricted。
- 最多可以提供三个指向应用中相关功能的相关文档的链接。
-
在后续步骤中,提供有关应用的任何其他所需信息。
- 如果您提供的应用配置需要进行验证,您可以提交应用以供验证。填写必填字段,然后点击提交以开始验证流程。
提交应用后,Google 的信任与安全团队会通过电子邮件跟进,告知您他们需要的任何其他信息或您必须完成的步骤。检查开发者联系信息部分中的电子邮件地址以及 OAuth 权限请求页面的支持电子邮件地址,看看是否收到了要求您提供更多信息的电子邮件。您还可以查看项目的 OAuth 权限请求页面,确认项目的当前审核状态,包括审核流程是否因等待您的回复而暂停。
验证要求的例外情况
如果您的应用将用于以下部分中所述的任何场景,则无需提交以供审核。
个人使用
一种使用情形是,如果您是应用的唯一用户,或者您的应用仅供少数用户使用,而您认识所有这些用户。您和您的少数用户可能可以顺利通过“应用未经验证”界面,并授予您的个人账号对应用的访问权限。
在开发、测试或预发布阶段使用的项目
为了遵守 Google OAuth 2.0 政策,我们建议您为测试和生产环境使用不同的项目。我们建议您仅在希望让拥有 Google 账号的任何用户都能使用您的应用时,才提交应用以供验证。因此,如果您的应用处于开发、测试或预演阶段,则无需进行验证。
如果您的应用处于开发或测试阶段,您可以将发布状态保留为默认设置测试。此设置表示您的应用仍在开发中,并且只能供添加到测试用户列表中的用户使用。您必须管理参与应用开发或测试的 Google 账号列表。
仅限服务自有数据
如果您的应用使用服务账号仅访问其自身的数据,而不访问任何用户数据(与 Google 账号相关联),则无需提交验证申请。
如需了解服务账号,请参阅 Google Cloud 文档中的服务账号。如需了解如何使用服务账号,请参阅为“服务器到服务器”应用使用 OAuth 2.0。
仅限内部使用
这意味着,该应用仅供 Google Workspace 或 Cloud Identity 组织中的人员使用。项目必须归组织所有,并且其 OAuth 同意屏幕需要配置为内部用户类型。在这种情况下,您的应用可能需要获得组织管理员的批准。如需了解详情,请参阅 Google Workspace 的其他注意事项。
- 详细了解公共应用和内部应用。
- 请参阅常见问题解答如何将应用标记为仅限内部使用?,了解如何将应用标记为内部应用。
全网域安装
如果您计划让应用仅面向 Google Workspace 或 Cloud Identity 组织的用户,并始终使用网域范围的安装,则您的应用无需进行应用验证。这是因为网域管理员可以通过全网域安装向第三方和内部应用授予访问用户数据的权限。只有组织管理员账号才能将应用添加到许可名单,以便在自己的网域中使用。
如需了解如何将应用设为全网域安装,请参阅常见问题解答我的应用的用户拥有来自其他 Google Workspace 网域的企业账号。