เมื่อคุณพร้อมที่จะติดตั้งใช้งานโซลูชันที่ติดตั้งใช้งานแล้วนอกสภาพแวดล้อมการพัฒนาให้กับผู้ใช้แอป คุณอาจต้องทำตามขั้นตอนเพิ่มเติมเพื่อปฏิบัติตามนโยบาย OAuth 2.0 ของ Google ในคู่มือนี้ เราจะอธิบายวิธีปฏิบัติตามข้อกำหนดเพื่อแก้ไขปัญหาที่พบบ่อยที่สุดซึ่งนักพัฒนาแอปพบเมื่อเตรียมแอปสำหรับเวอร์ชันที่ใช้งานจริง วิธีนี้ช่วยให้คุณเข้าถึงกลุ่มเป้าหมายได้มากที่สุดเท่าที่จะเป็นไปได้โดยมีข้อผิดพลาดน้อยที่สุด
- ใช้โปรเจ็กต์แยกกันสำหรับเวอร์ชันทดสอบและเวอร์ชันที่ใช้งานจริง
- เก็บรายชื่อติดต่อที่เกี่ยวข้องของโปรเจ็กต์ไว้
- แสดงตัวตนอย่างถูกต้อง
- ขอเฉพาะขอบเขตที่คุณต้องการ
- ส่งแอปเวอร์ชันที่ใช้งานจริงที่ใช้ขอบเขตที่ละเอียดอ่อนหรือถูกจํากัดเพื่อรับการยืนยัน
- ใช้เฉพาะโดเมนที่คุณเป็นเจ้าของ
- โฮสต์หน้าแรกสำหรับแอปเวอร์ชันที่ใช้งานจริง
- ใช้ URI การเปลี่ยนเส้นทางที่ปลอดภัยและต้นทาง JavaScript
ใช้โปรเจ็กต์แยกกันสำหรับเวอร์ชันทดสอบและเวอร์ชันที่ใช้งานจริง
นโยบาย OAuth ของ Google กำหนดให้ใช้โปรเจ็กต์แยกต่างหากสำหรับการทดสอบและเวอร์ชันที่ใช้งานจริง นโยบายและข้อกำหนดบางอย่างมีผลกับแอปเวอร์ชันที่ใช้งานจริงเท่านั้น คุณอาจต้องสร้างและกำหนดค่าโปรเจ็กต์แยกต่างหากซึ่งมีไคลเอ็นต์ OAuth ที่สอดคล้องกับแอปเวอร์ชันที่ใช้งานจริงซึ่งพร้อมให้บริการสำหรับบัญชี Google ทั้งหมด
โปรแกรมไคลเอ็นต์ OAuth ของ Google ที่ใช้ในเวอร์ชันที่ใช้งานจริงช่วยให้สภาพแวดล้อมการเก็บรวบรวมและจัดเก็บข้อมูลที่เสถียร คาดการณ์ได้ และปลอดภัยกว่าโปรแกรมไคลเอ็นต์ OAuth ที่คล้ายกันซึ่งทดสอบหรือแก้ไขข้อบกพร่องแอปพลิเคชันเดียวกัน โปรเจ็กต์ที่ใช้งานจริงส่งเข้ารับการยืนยันได้ ดังนั้นจึงอยู่ภายใต้ข้อกำหนดเพิ่มเติมสำหรับขอบเขต API เฉพาะ ซึ่งอาจรวมถึงการประเมินความปลอดภัยของบุคคลที่สาม
- ตรวจสอบไคลเอ็นต์ OAuth ในโปรเจ็กต์นี้ที่อาจเชื่อมโยงกับระดับการทดสอบ สร้างไคลเอ็นต์ OAuth ที่คล้ายกันสำหรับไคลเอ็นต์เวอร์ชันที่ใช้งานจริงภายในโปรเจ็กต์เวอร์ชันที่ใช้งานจริง (หากมี)
- เปิดใช้ API ที่ใช้โดยลูกค้า
- โปรดตรวจสอบการกำหนดค่าหน้าจอคำยินยอม OAuth ในโปรเจ็กต์ใหม่
ไคลเอ็นต์ OAuth ของ Google ที่ใช้ในเวอร์ชันที่ใช้งานจริงต้องไม่มีสภาพแวดล้อมการทดสอบ, เปลี่ยนเส้นทาง URI หรือต้นทาง JavaScript ที่มีให้คุณหรือทีมพัฒนาของคุณเท่านั้น ตัวอย่างมีดังนี้
- เซิร์ฟเวอร์ทดสอบของนักพัฒนาแอปแต่ละราย
- ทดสอบหรือแอปเวอร์ชันทดลอง
เก็บรายชื่อติดต่อที่เกี่ยวข้องของโปรเจ็กต์ไว้
Google และ API แต่ละรายการที่คุณเปิดใช้ อาจต้องติดต่อคุณเกี่ยวกับการเปลี่ยนแปลงบริการหรือการกำหนดค่าใหม่ที่จำเป็นสำหรับโปรเจ็กต์และไคลเอ็นต์ของคุณ ตรวจสอบข้อมูล IAM ของโปรเจ็กต์เพื่อให้บุคคลที่เกี่ยวข้องในทีมมีสิทธิ์แก้ไขหรือดูการกำหนดค่าโปรเจ็กต์ของคุณ บัญชีเหล่านี้อาจได้รับอีเมลเกี่ยวกับการเปลี่ยนแปลงที่จำเป็นในโปรเจ็กต์ด้วย
บทบาทประกอบด้วยชุดสิทธิ์ที่ให้คุณดำเนินการที่เฉพาะเจาะจงกับทรัพยากรของโปรเจ็กต์ได้ ผู้แก้ไขโปรเจ็กต์มีสิทธิ์สำหรับการดำเนินการที่แก้ไขสถานะ เช่น ความสามารถในการเปลี่ยนแปลงหน้าจอคำยินยอม OAuth ของโปรเจ็กต์ เจ้าของโปรเจ็กต์ที่มีสิทธิ์ผู้แก้ไขทั้งหมดจะเพิ่มหรือนำบัญชีที่เชื่อมโยงกับโปรเจ็กต์ออก หรือลบโปรเจ็กต์ได้ นอกจากนี้ เจ้าของโปรเจ็กต์ยังระบุบริบทว่าเหตุใดจึงอาจตั้งค่าข้อมูลการเรียกเก็บเงินได้ด้วย เจ้าของโปรเจ็กต์สามารถตั้งค่าข้อมูลการเรียกเก็บเงินสำหรับโปรเจ็กต์ที่ใช้ API แบบชำระเงิน
เจ้าของและผู้แก้ไขโปรเจ็กต์ต้องอัปเดตข้อมูลอยู่เสมอ คุณเพิ่มบัญชีที่เกี่ยวข้องหลายบัญชีลงในโปรเจ็กต์ได้เพื่อให้เข้าถึงโปรเจ็กต์ได้ต่อไปและการบำรุงรักษาที่เกี่ยวข้อง เราจะส่งอีเมลไปยังบัญชีเหล่านั้นเมื่อมีประกาศเกี่ยวกับโปรเจ็กต์หรือการอัปเดตบริการของเรา ผู้ดูแลระบบองค์กร Google Cloud ต้องตรวจสอบว่ามีการเชื่อมโยงรายชื่อติดต่อที่ติดต่อได้กับโปรเจ็กต์ทุกรายการในองค์กร หากเราไม่มีข้อมูลติดต่อล่าสุดสำหรับโปรเจ็กต์ คุณอาจพลาดข้อความสำคัญที่ต้องดำเนินการ
แสดงตัวตนของคุณอย่างถูกต้อง
ระบุชื่อแอปที่ถูกต้องและใส่โลโก้ที่จะแสดงต่อผู้ใช้ (ไม่บังคับ) ข้อมูลแบรนด์นี้ต้องแสดงตัวตนของแอปพลิเคชันอย่างถูกต้อง ข้อมูลการสร้างแบรนด์ของแอปจะกำหนดค่าจาก OAuth
สำหรับแอปเวอร์ชันที่ใช้งานจริง ข้อมูลแบรนด์ที่กำหนดไว้ในหน้าจอขอความยินยอม OAuth จะต้องได้รับการยืนยันก่อนที่จะแสดงต่อผู้ใช้ ผู้ใช้มีแนวโน้มที่จะให้สิทธิ์เข้าถึงแอปของคุณมากขึ้นหลังจากที่แอปได้รับการยืนยันแบรนด์แล้ว ข้อมูลแอปพลิเคชันพื้นฐาน ซึ่งรวมถึงชื่อแอป หน้าแรก ข้อกำหนดในการให้บริการ และนโยบายความเป็นส่วนตัว จะแสดงต่อผู้ใช้ในหน้าจอการให้สิทธิ์เมื่อผู้ใช้ตรวจสอบการให้สิทธิ์ที่มีอยู่ หรือต่อผู้ดูแลระบบ Google Workspace ที่ตรวจสอบการใช้แอปโดยองค์กร
Google สามารถเพิกถอนหรือระงับการเข้าถึงบริการ Google API และผลิตภัณฑ์และบริการอื่นๆ ของ Google สำหรับแอปที่สื่อให้เข้าใจผิดเกี่ยวกับตัวตนของตนหรือพยายามหลอกลวงผู้ใช้
ขอเฉพาะขอบเขตที่คุณต้องการ
ในระหว่างการพัฒนาแอปพลิเคชัน คุณอาจใช้ขอบเขตตัวอย่างที่ API มีให้เพื่อสร้างการพิสูจน์แนวคิดภายในแอปพลิเคชันเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับฟีเจอร์และฟังก์ชันการทำงานของ API ตัวอย่างขอบเขตเหล่านี้มักขอข้อมูลมากกว่าที่การติดตั้งใช้งานขั้นสุดท้ายของแอปต้องการ เนื่องจากครอบคลุมการดำเนินการทั้งหมดที่เป็นไปได้สำหรับ API หนึ่งๆ เช่น ขอบเขตตัวอย่างอาจขอสิทธิ์อ่าน เขียน และลบ ในขณะที่แอปพลิเคชันของคุณต้องใช้สิทธิ์อ่านเท่านั้น ขอสิทธิ์ที่เกี่ยวข้องซึ่งจำกัดไว้เฉพาะข้อมูลสำคัญที่จำเป็นต่อการใช้งานแอปพลิเคชัน
ตรวจสอบเอกสารอ้างอิงสำหรับปลายทาง API ที่แอปของคุณเรียกใช้และจดบันทึกขอบเขตที่จําเป็นในการเข้าถึงข้อมูลที่เกี่ยวข้องที่แอปต้องการ ตรวจสอบคู่มือการให้สิทธิ์ที่ API มีให้และอธิบายขอบเขตโดยละเอียดมากขึ้นเพื่อรวมการใช้งานที่พบบ่อยที่สุด เลือกการเข้าถึงข้อมูลขั้นต่ำที่สุดที่แอปพลิเคชันของคุณต้องใช้เพื่อขับเคลื่อนฟีเจอร์ที่เกี่ยวข้อง
ดูข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดนี้ได้ในส่วนขอเฉพาะขอบเขตที่คุณต้องการของนโยบาย OAuth 2.0 รวมถึงส่วนขอสิทธิ์ที่เกี่ยวข้องของนโยบายข้อมูลผู้ใช้ของบริการ Google API
ส่งแอปเวอร์ชันที่ใช้งานจริงที่ใช้ขอบเขตที่ละเอียดอ่อนหรือถูกจํากัดเพื่อรับการยืนยัน
ขอบเขตบางรายการจัดอยู่ในประเภท "มีความละเอียดอ่อน" หรือ "ถูกจํากัด" และใช้ไม่ได้ในแอปเวอร์ชันที่ใช้งานจริงหากไม่ได้รับการตรวจสอบ ป้อนขอบเขตทั้งหมดที่แอปเวอร์ชันที่ใช้งานจริงใช้ในการการกำหนดค่าหน้าจอขอความยินยอม OAuth หากแอปเวอร์ชันที่ใช้งานจริงใช้ขอบเขตที่ละเอียดอ่อนหรือถูกจํากัด คุณต้องส่งการใช้ขอบเขตเหล่านั้นเพื่อรับการยืนยันก่อนรวมขอบเขตไว้ในคําขอการให้สิทธิ์
ใช้เฉพาะโดเมนที่คุณเป็นเจ้าของ
กระบวนการยืนยันหน้าจอขอความยินยอม OAuth ของ Google กำหนดให้ต้องยืนยันโดเมนทั้งหมดที่เชื่อมโยงกับหน้าแรก นโยบายความเป็นส่วนตัว ข้อกำหนดในการให้บริการ URI การเปลี่ยนเส้นทางที่ได้รับอนุญาต หรือต้นทางของ JavaScript ที่ได้รับอนุญาตของโปรเจ็กต์ ตรวจสอบรายการโดเมนที่แอปของคุณใช้ ซึ่งสรุปไว้ในส่วนโดเมนที่ได้รับอนุญาตของเครื่องมือแก้ไขหน้าจอคํายินยอม OAuth และระบุโดเมนที่คุณไม่ได้เป็นเจ้าของ จึงจะยืนยันไม่ได้ หากต้องการยืนยันการเป็นเจ้าของโดเมนที่ได้รับอนุญาตของโปรเจ็กต์ ให้ใช้ Google Search Console ใช้บัญชี Google ที่เชื่อมโยงกับ โปรเจ็กต์ในฐานะเจ้าของหรือผู้แก้ไข
หากโปรเจ็กต์ใช้ผู้ให้บริการที่มีโดเมนที่ใช้ร่วมกัน เราขอแนะนำให้คุณเปิดใช้การกำหนดค่าที่อนุญาตให้ใช้โดเมนของคุณเอง ผู้ให้บริการบางรายเสนอการแมปบริการของตนกับโดเมนย่อยของโดเมนที่คุณเป็นเจ้าของอยู่แล้ว
โฮสต์หน้าแรกสำหรับแอปเวอร์ชันที่ใช้งานจริง
แอปเวอร์ชันที่ใช้งานจริงทุกแอปที่ใช้ OAuth 2.0 ต้องมีหน้าแรกที่เข้าถึงได้แบบสาธารณะ ผู้มีโอกาสเป็นผู้ใช้แอปอาจไปที่หน้าแรกเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับฟีเจอร์และฟังก์ชันการทำงานที่แอปนำเสนอ ผู้ใช้เดิมอาจตรวจสอบรายการการให้เงินสนับสนุนที่มีอยู่และเข้าชมหน้าแรกของแอปเพื่อทบทวนการใช้ข้อเสนอของคุณต่อไป
หน้าแรกของแอปพลิเคชันต้องมีคำอธิบายฟังก์ชันการทํางานของแอป รวมถึงลิงก์ไปยังนโยบายความเป็นส่วนตัวและข้อกำหนดในการให้บริการ (ไม่บังคับ) หน้าแรกต้องอยู่ในโดเมนที่ได้รับการยืนยันซึ่งคุณเป็นเจ้าของ
ใช้ URI การเปลี่ยนเส้นทางและต้นทางของ JavaScript ที่ปลอดภัย
ไคลเอ็นต์ OAuth 2.0 สำหรับเว็บแอปต้องรักษาความปลอดภัยข้อมูลโดยใช้ URI การเปลี่ยนเส้นทาง HTTPS และต้นทาง JavaScript ไม่ใช่ HTTP ธรรมดา Google สามารถปฏิเสธคำขอ OAuth ที่ไม่ได้มาจากหรือแก้ไขเป็นบริบทที่ปลอดภัย
พิจารณาว่าแอปพลิเคชันและสคริปต์ของบุคคลที่สามใดบ้างที่อาจมีสิทธิ์เข้าถึงโทเค็นและข้อมูลเข้าสู่ระบบอื่นๆ ของผู้ใช้ซึ่งส่งกลับไปยังหน้าเว็บของคุณ จำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อนด้วยตำแหน่ง URI การเปลี่ยนเส้นทางที่จำกัดไว้ที่การยืนยันและจัดเก็บข้อมูลโทเค็น
ขั้นตอนถัดไป
หลังจากตรวจสอบว่าแอปเป็นไปตามนโยบาย OAuth 2.0 ในหน้านี้แล้ว โปรดดูรายละเอียดเกี่ยวกับกระบวนการยืนยันตัวตนที่หัวข้อส่งเพื่อขอรับการยืนยันแบรนด์