OAuth 2.0-Richtlinien einhalten

Wenn Sie bereit sind, die implementierte Lösung über die Entwicklungsumgebung hinaus für die Nutzer Ihrer Anwendung bereitzustellen, müssen Sie möglicherweise zusätzliche Schritte unternehmen, um die OAuth 2.0-Richtlinien von Google einzuhalten. In diesem Leitfaden erfahren Sie, wie Sie die häufigsten Probleme von Entwicklern beheben können, die bei der Vorbereitung Ihrer App für die Produktion auftreten. So erreichen Sie mit wenigen Fehlern die größtmögliche Zielgruppe.

Separate Projekte für Tests und Produktion verwenden

Gemäß den OAuth-Richtlinien von Google sind separate Projekte für Tests und die Produktion erforderlich. Einige Richtlinien und Anforderungen gelten nur für Produktions-Apps. Möglicherweise müssen Sie ein separates Projekt mit OAuth-Clients erstellen und konfigurieren, die der Produktionsversion Ihrer Anwendung entsprechen, die für alle Google-Konten verfügbar ist.

Google OAuth-Clients, die in der Produktion verwendet werden, bieten eine stabilere, vorhersehbarere und sicherere Umgebung für die Datenerhebung und -speicherung als ähnliche OAuth-Clients, mit denen dieselbe Anwendung getestet oder debuggt wird. Ihr Produktionsprojekt kann zur Überprüfung eingereicht werden und unterliegt daher möglicherweise zusätzlichen Anforderungen für bestimmte API-Bereiche, einschließlich Sicherheitsbewertungen durch Dritte.

  1. Prüfen Sie die OAuth-Clients in diesem Projekt, die mit Ihrer Testebene verknüpft sein könnten. Erstellen Sie gegebenenfalls ähnliche OAuth-Clients für die Produktionsclients in Ihrem Produktionsprojekt.
  2. Aktivieren Sie alle APIs, die von Ihren Clients verwendet werden.
  3. Überprüfen Sie die Konfiguration des OAuth-Zustimmungsbildschirms im neuen Projekt.

In der Produktion verwendete Google OAuth-Clients dürfen keine Testumgebungen, Weiterleitungs-URIs oder JavaScript-Quellen enthalten, die nur für Sie oder Ihr Entwicklungsteam verfügbar sind. Beispiele:

  • Testserver einzelner Entwickler
  • Test- oder Vorabversionen Ihrer App

Eine Liste der relevanten Kontakte für das Projekt führen

Google und die einzelnen APIs, die Sie aktivieren, müssen Sie möglicherweise wegen Änderungen an den Diensten oder neuen Konfigurationen kontaktieren, die für Ihr Projekt und seine Kunden erforderlich sind. Prüfen Sie die IAM-Einträge Ihres Projekts, um sicherzustellen, dass die relevanten Personen in Ihrem Team Zugriff zum Bearbeiten oder Ansehen Ihrer Projektkonfiguration haben. Diese Konten erhalten möglicherweise auch E-Mails zu erforderlichen Änderungen an Ihrem Projekt.

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Projektressourcen ausführen können. Projektbearbeiter haben Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. die Möglichkeit, Änderungen am OAuth-Zustimmungsbildschirm Ihres Projekts vorzunehmen. Projektinhaber mit allen Berechtigungen für Mitbearbeiter können mit dem Projekt verknüpfte Konten hinzufügen oder daraus entfernen oder das Projekt löschen. Projektinhaber können auch erläutern, warum Zahlungsinformationen festgelegt werden. Projektinhaber können Zahlungsinformationen für ein Projekt einrichten, das kostenpflichtige APIs verwendet.

Projektinhaber und -bearbeiter müssen auf dem Laufenden gehalten werden. Sie können Ihrem Projekt mehrere relevante Konten hinzufügen, um den Zugriff auf das Projekt und die damit verbundene Wartung aufrechtzuerhalten. Wir senden E-Mails an diese Konten, wenn es Benachrichtigungen zu Ihrem Projekt oder Updates zu unseren Diensten gibt. Google Cloud-Organisationsadministratoren müssen dafür sorgen, dass jedem Projekt in ihrer Organisation ein erreichbarer Kontakt zugeordnet ist. Wenn wir keine aktuellen Kontaktdaten für Ihr Projekt haben, verpassen Sie möglicherweise wichtige Nachrichten, die Ihr Handeln erfordern.

Ihre Identität korrekt darstellen

Geben Sie einen gültigen App-Namen und optional ein Logo an, das Nutzern angezeigt werden soll. Diese Markeninformationen müssen die Identität Ihrer App korrekt widerspiegeln. Informationen zum App-Branding werden über OAuth konfiguriert.

Bei Produktions-Apps müssen die auf dem OAuth-Zustimmungsbildschirm definierten Markeninformationen überprüft werden, bevor sie Nutzern angezeigt werden. Nutzer sind eher bereit, Ihrer App Zugriff zu gewähren, nachdem die Markenbestätigung abgeschlossen wurde. Grundlegende Informationen zur Anwendung, einschließlich Name, Startseite, Nutzungsbedingungen und Datenschutzerklärung der App, werden Nutzern auf dem Bildschirm „Berechtigung“ angezeigt, wenn sie ihre vorhandenen Berechtigungen überprüfen. Google Workspace-Administratoren, die die App-Nutzung in ihrer Organisation prüfen, sehen diese Informationen ebenfalls.

Google kann den Zugriff auf Google API-Dienste und andere Google-Produkte und -Dienste für Apps widerrufen oder sperren, die ihre Identität falsch darstellen oder versuchen, Nutzer zu täuschen.

Nur die benötigten Bereiche anfordern

Während der Entwicklung Ihrer Anwendung haben Sie möglicherweise einen von der API bereitgestellten Beispielbereich verwendet, um ein Proof of Concept innerhalb Ihrer Anwendung zu erstellen und mehr über die Funktionen der API zu erfahren. Für diese Beispielbereiche werden oft mehr Informationen angefordert, als für die endgültige Implementierung Ihrer App erforderlich sind, da sie alle möglichen Aktionen für eine bestimmte API abdecken. Der Beispielbereich kann beispielsweise Lese-, Schreib- und Löschberechtigungen anfordern, während für Ihre Anwendung nur Leseberechtigungen erforderlich sind. Anfragen Sie nur relevante Berechtigungen, die auf die wichtigen Informationen beschränkt sind, die für die Implementierung Ihrer App erforderlich sind.

Lesen Sie die Referenzdokumentation für die API-Endpunkte, die von Ihrer App aufgerufen werden, und notieren Sie sich die Bereiche, die für den Zugriff auf die relevanten Daten Ihrer App erforderlich sind. Lesen Sie alle Autorisierungsleitfäden, die die API bietet, und beschreiben Sie die Bereiche genauer, um die häufigsten Verwendungen zu berücksichtigen. Wählen Sie den minimalen Datenzugriff aus, den Ihre Anwendung für die zugehörigen Funktionen benötigt.

Weitere Informationen zu dieser Anforderung finden Sie in den OAuth 2.0-Richtlinien im Abschnitt Nur erforderliche Bereiche anfordern sowie in der Nutzerdatenrichtlinie der Google API-Dienste im Abschnitt Relevante Berechtigungen anfordern.

Produktionsanwendungen mit vertraulichen oder eingeschränkten Bereichen zur Überprüfung einreichen

Bestimmte Bereiche werden als „sensibel“ oder „eingeschränkt“ eingestuft und können nicht ohne Überprüfung in Produktions-Apps verwendet werden. Geben Sie in der Konfiguration des OAuth-Zustimmungsbildschirms alle Bereiche ein, die Ihre Produktions-App verwendet. Wenn in Ihrer Produktions-App Daten im vertraulichen oder eingeschränkt verfügbaren Bereich verwendet werden, müssen Sie die Verwendung dieser Bereiche zur Überprüfung einreichen, bevor Sie sie in eine Autorisierungsanfrage aufnehmen.

Verwenden Sie nur Domains, deren Inhaber Sie sind.

Für die Überprüfung des OAuth-Zustimmungsbildschirms von Google müssen alle Domains bestätigt werden, die mit der Startseite, der Datenschutzerklärung, den Nutzungsbedingungen, den autorisierten Weiterleitungs-URIs oder den autorisierten JavaScript-Quellen Ihres Projekts verknüpft sind. Sehen Sie sich die Liste der von Ihrer App verwendeten Domains an, die im Bereich Autorisierte Domains des Editors für den OAuth-Einwilligungsbildschirm zusammengefasst sind. Suchen Sie nach Domains, deren Inhaber Sie nicht sind und die Sie daher nicht bestätigen können. In der Google Search Console können Sie die Inhaberschaft der autorisierten Domains Ihres Projekts bestätigen. Verwenden Sie ein Google-Konto, das mit Ihrem Projekt als Inhaber oder Bearbeiter verknüpft ist.

Wenn in Ihrem Projekt ein Dienstanbieter mit einer gemeinsamen Domain verwendet wird, empfehlen wir Ihnen, Konfigurationen zu aktivieren, die die Verwendung Ihrer eigenen Domain ermöglichen. Einige Anbieter bieten an, ihre Dienste einer Subdomain einer Domain zuzuordnen, die Sie bereits besitzen.

Startseite für Produktions-Apps hosten

Jede Produktions-App, die OAuth 2.0 verwendet, muss eine öffentlich zugängliche Startseite haben. Potenzielle Nutzer Ihrer App besuchen möglicherweise die Startseite, um mehr über die Funktionen der App zu erfahren. Bestehende Nutzer können sich die Liste ihrer bestehenden Zuschüsse ansehen und die Startseite Ihrer App besuchen, um sich daran zu erinnern, dass sie Ihr Angebot weiterhin nutzen.

Die Startseite Ihrer App muss eine Beschreibung der Funktionen der App sowie Links zu einer Datenschutzerklärung und optionalen Nutzungsbedingungen enthalten. Die Startseite muss auf einer bestätigten Domain vorhanden sein, deren Inhaber Sie sind.

Sichere Weiterleitungs-URIs und JavaScript-Quellen verwenden

OAuth 2.0-Clients für Webanwendungen müssen ihre Daten mit HTTPS-Weiterleitungs-URIs und JavaScript-Ursprüngen schützen, nicht mit einfachem HTTP. Google kann OAuth-Anfragen ablehnen, die nicht aus einem sicheren Kontext stammen oder auf einen sicheren Kontext verweisen.

Überlegen Sie, welche Anwendungen und Skripts von Drittanbietern Zugriff auf Tokens und andere Nutzeranmeldedaten haben könnten, die zu Ihrer Seite zurückkehren. Beschränken Sie den Zugriff auf sensible Daten mit Weiterleitungs-URI-Speicherorten, die auf das Verifizieren und Speichern von Tokendaten beschränkt sind.

Nächste Schritte

Nachdem Sie sichergestellt haben, dass Ihre App den OAuth 2.0-Richtlinien auf dieser Seite entspricht, finden Sie unter Markenüberprüfung beantragen weitere Informationen zum Überprüfungsprozess.