Cuando tengas todo listo para implementar la solución implementada más allá de tu entorno de desarrollo para los usuarios de tu app, es posible que debas seguir pasos adicionales para cumplir con las Políticas de OAuth 2.0 de Google. En esta guía, se describe cómo cumplir con los problemas más comunes de los desarrolladores que se presentan cuando preparas tu app para producción. Esto te ayuda a llegar al público más grande posible con errores limitados.
- Usa proyectos separados para las pruebas y la producción
- Mantener una lista de contactos relevantes para el proyecto
- Representa tu identidad con precisión
- Solicita solo los permisos que necesites
- Envía apps de producción que usen permisos sensibles o restringidos para la verificación
- Usa solo dominios que te pertenezcan
- Aloja una página principal para apps de producción
- Usa URI de redireccionamiento seguros y orígenes de JavaScript
Usa proyectos independientes para pruebas y producción
Las políticas de OAuth de Google requieren proyectos independientes para la prueba y la producción. Algunas políticas y requisitos solo se aplican a las apps de producción. Es posible que debas crear y configurar un proyecto independiente que incluya clientes de OAuth que correspondan a la versión de producción de tu app disponible para todas las Cuentas de Google.
Los clientes de OAuth de Google que se usan en producción ayudan a proporcionar un entorno de almacenamiento y recopilación de datos más estable, predecible y seguro que los clientes de OAuth similares que prueban o depuran la misma aplicación. Tu proyecto de producción se puede enviar para su verificación y, por lo tanto, estar sujeto a requisitos adicionales para permisos de API específicos, que pueden incluir evaluaciones de seguridad de terceros.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Revisa los clientes de OAuth en este proyecto que podrían estar asociados con tu nivel de prueba. Si corresponde, crea clientes de OAuth similares para los clientes de producción dentro de tu proyecto de producción.
- Habilita las APIs que usen tus clientes.
- Revisa la configuración de la pantalla de consentimiento de OAuth en el proyecto nuevo.
Los clientes de Google OAuth que se usen en producción no deben contener entornos de prueba, URI de redireccionamiento ni orígenes de JavaScript disponibles solo para ti o tu equipo de desarrollo. Estos son algunos ejemplos:
- Los servidores de prueba de desarrolladores individuales
- Pruebas o versiones previas al lanzamiento de tu app
Mantener una lista de contactos relevantes para el proyecto
Es posible que Google y las APIs individuales que habilites deban comunicarse contigo para informarte sobre cambios en sus servicios o nuevas configuraciones requeridas para tu proyecto y sus clientes. Revisa las fichas de IAM de tu proyecto para asegurarte de que las personas relevantes de tu equipo tengan acceso para editar o ver la configuración de tu proyecto. Es posible que estas cuentas también reciban correos electrónicos sobre los cambios obligatorios en tu proyecto.
Un rol contiene un conjunto de permisos que te permite realizar acciones específicas en los recursos del proyecto. Los editores de proyectos tienen permisos para acciones que modifican el estado, como la capacidad de realizar cambios en la pantalla de consentimiento de OAuth de tu proyecto. Los propietarios del proyecto que tienen todos los permisos de editor pueden agregar o quitar cuentas asociadas con el proyecto, o bien borrarlo. Los propietarios del proyecto también pueden proporcionar contexto sobre por qué se pueden configurar los datos de facturación. Los propietarios del proyecto pueden configurar los datos de facturación para un proyecto que usa APIs pagadas.
Los propietarios y editores del proyecto deben mantenerse al día. Puedes agregar varias cuentas relevantes a tu proyecto para garantizar el acceso continuo al proyecto y el mantenimiento relacionado. Enviamos correos electrónicos a esas cuentas cuando hay notificaciones sobre tu proyecto o actualizaciones de nuestros servicios. Los administradores de la organización de Google Cloud deben asegurarse de que un contacto accesible esté asociado a cada proyecto de su organización. Si no tenemos información de contacto actualizada para tu proyecto, es posible que te pierdas mensajes importantes que requieran tu acción.
Representa tu identidad con precisión
Proporciona un nombre de app válido y, de forma opcional, un logotipo para mostrar a los usuarios. Esta información de la marca debe representar con precisión la identidad de tu aplicación. La información de desarrollo de la marca de la app se configura desde OAuth Consent Screen page.
En el caso de las apps de producción, la información de la marca definida en la pantalla de consentimiento de OAuth debe verificarse antes de que se muestre a los usuarios. Es posible que los usuarios tengan más probabilidades de otorgar acceso a tu app después de que complete la verificación de marca. La información básica de la aplicación, que incluye el nombre, la página principal, las condiciones del servicio y la política de privacidad de la app, se muestra a los usuarios en la pantalla de otorgamiento, cuando revisan sus otorgamientos existentes, o a los administradores de Google Workspace que revisan el uso de apps por parte de su organización.
Google puede revocar o suspender el acceso a los servicios de la API de Google y a otros productos y servicios de Google para las apps que tergiversen su identidad o intenten engañar a los usuarios.
Solo solicita los permisos que necesites
Durante el desarrollo de tu aplicación, es posible que hayas usado un alcance de ejemplo proporcionado por la API para crear una prueba de concepto dentro de tu aplicación y obtener más información sobre las características y funciones de la API. Estos permisos de ejemplo a menudo solicitan más información que la implementación final de las necesidades de tu app, ya que proporcionan una cobertura completa de todas las acciones posibles para una API en particular. Por ejemplo, el alcance de ejemplo podría solicitar permisos de lectura, escritura y eliminación, mientras que tu aplicación solo requiere permisos de lectura. Solicita permisos relevantes que se limiten a la información fundamental necesaria para implementar tu aplicación.
Revisa la documentación de referencia de los extremos de la API a los que llama tu app y ten en cuenta los permisos que requieren para acceder a los datos relevantes que necesita tu app. Revisa las guías de autorización que la API ofrece y describe sus permisos en más detalle para incluir el uso más común. Elige el acceso a los datos más mínimo que necesite tu aplicación para potenciar las funciones relacionadas.
Para obtener más información sobre este requisito, consulta la sección Solo solicita los permisos que necesitas de las políticas de OAuth 2.0, junto con la sección Solicita permisos relevantes de la Política de Datos del Usuario de los Servicios de la API de Google.
Envía apps de producción que usen permisos sensibles o restringidos para la verificación
Ciertos permisos se clasifican como "sensibles" o "restringidos" y no se pueden usar en apps de producción sin revisión. Ingresa todos los permisos que usa tu app de producción en la configuración de la pantalla de consentimiento de OAuth. Si tu app de producción usa permisos sensibles o restringidos, debes enviar el uso de esos permisos para su verificación antes de incluirlos en una solicitud de autorización.
Usa solo dominios de tu propiedad
El proceso de verificación de la pantalla de consentimiento de OAuth de Google requiere la verificación de todos los dominios asociados con la página principal, la política de privacidad, las condiciones del servicio, los URIs de redireccionamiento o los orígenes de JavaScript autorizados de tu proyecto. Revisa la lista de dominios que usa tu app, que se resume en la sección Dominios autorizados del editor de la pantalla de consentimiento de OAuth, y identifica los dominios que no te pertenecen y, por lo tanto, no podrás verificar. Para verificar la propiedad de los dominios autorizados de tu proyecto, usa Google Search Console. Usa una Cuenta de Google asociada a tu proyecto API Console como propietario o editor.
Si tu proyecto usa un proveedor de servicios con un dominio compartido común, te recomendamos que habilites las configuraciones que permitirían el uso de tu propio dominio. Algunos proveedores ofrecen asignar sus servicios al subdominio de un dominio que ya posees.
Cómo alojar una página principal para apps de producción
Todas las apps de producción que usan OAuth 2.0 deben tener una página principal de acceso público. Los usuarios potenciales de tu app pueden visitar la página principal para obtener más información sobre las funciones que ofrece. Los usuarios existentes pueden revisar su lista de concesiones existentes y visitar la página principal de tu app como recordatorio de que siguen usando tu oferta.
La página principal de tu aplicación debe incluir una descripción de su funcionalidad, así como vínculos a una política de privacidad y a condiciones del servicio opcionales. La página principal debe existir en un dominio verificado que sea de tu propiedad.
Usa URIs de redireccionamiento y orígenes de JavaScript seguros
Los clientes de OAuth 2.0 para apps web deben proteger sus datos con URIs de redireccionamiento HTTPS y orígenes de JavaScript, no con HTTP sin formato. Google puede rechazar las solicitudes de OAuth que no se originan en un contexto seguro o que no se resuelven en uno.
Considera qué aplicaciones y secuencias de comandos de terceros podrían tener acceso a los tokens y otras credenciales del usuario que se muestran en tu página. Limita el acceso a datos sensibles con ubicaciones de URI de redireccionamiento que se limitan a verificar y almacenar datos de tokens.
Próximos pasos
Después de asegurarte de que tu app cumpla con las políticas de OAuth 2.0 que se indican en esta página, consulta Enviar para la verificación de la marca para obtener detalles sobre el proceso de verificación.