发布应用时,您需要完成三项主要任务来实现身份验证和授权:
了解 OAuth 范围
如需定义授予应用的访问权限级别,您需要确定并声明授权范围。授权范围是 OAuth 2.0 URI 字符串,其中包含 Google Workspace 应用名称、它访问的数据类型以及访问权限级别。范围是您的应用请求处理 Google Workspace 数据(包括用户的 Google 账号数据)的请求。
在用户安装您的应用时,系统会要求用户验证该应用使用的范围。通常,您应尽可能选择最窄的范围,并避免请求应用不需要的范围。用户更乐意向描述清晰的有限范围授予访问权限。
提供应用所需的完整 OAuth 范围列表。您向每个位置添加的镜重范围必须一致,并且会以以下方式使用:
添加到 OAuth 同意屏幕的范围用于 OAuth 验证。
添加到 Google Workspace Marketplace SDK 的范围用于在整个网域和单个账号安装时,为从 Google Workspace Marketplace 安装的应用授权。
向清单添加的范围对于应用正常运行至关重要。
例如,如果您发布的应用包含 Google 表格插件和 Google 文档插件,则每个插件的 Google Apps Script 清单仅包含特定于该插件的镜重。在您的 Google Cloud 项目中,OAuth 意见征求界面和 Marketplace SDK 包含这两个插件对应的权限范围。
解决未验证的 OAuth 范围问题
如果您的新应用、已保存的草稿或已发布的公开应用包含未经验证的敏感或受限范围,您在 Marketplace SDK 中修改应用时会看到以下错误消息:
OAuth verification is required for sensitive or restricted scopes. You can
still save your app as a draft, but you're not able to publish your draft app
listing.
如需了解详情,请参阅指定应用所需的访问权限级别。
如需解决此错误,您可以执行以下操作:
对具有未验证的敏感或受限范围的应用详情进行更改,并将该详情另存为草稿。
在未添加任何新的未经验证的敏感范围或受限范围后发布应用。
仅移除未经验证的敏感范围或受限范围后发布应用。
对于某些权宜解决方法,系统可能会向用户显示“应用未经验证”屏幕。如需了解详情,请参阅未验证的应用。
如需解决此错误,请提交您的应用以进行 OAuth 验证。
前提条件
1. 填写 OAuth 权限请求页面
OAuth 权限请求页面是一种提示,告知用户谁请求访问其数据,以及用户允许您的应用访问哪些类型的数据。
- 在 Google Cloud 控制台中,依次选择“菜单”图标 > > 品牌。
- 如果您已配置 ,则可以在品牌、受众群体和数据访问中配置以下 OAuth 同意屏幕设置。 如果您看到一条消息,其中显示 尚未配置,请点击开始:
- 在应用信息下的应用名称中,输入应用名称。
- 在用户支持电子邮件中,选择一个支持电子邮件地址,以便用户在有关于用户同意的问题时与您联系。
- 点击下一步。
- 在受众群体下,为您的应用选择用户类型。
- 点击下一步。
- 在联系信息下,输入一个电子邮件地址,以便您接收有关项目的任何更改的通知。
- 点击下一步。
- 在完成下方,查看 Google API 服务用户数据政策。如果您同意,请选择我同意 Google API 服务:用户数据政策。
- 点击继续。
- 点击创建。
- 如果您选择了外部作为用户类型,请添加测试用户:
- 点击受众群体。
- 在测试用户下,点击添加用户。
- 输入您的电子邮件地址和任何其他已获授权的测试用户,然后点击保存。
如果您要创建的应用将在 Google Workspace 组织之外使用,请依次点击数据访问 > 添加或移除范围。我们建议您在选择镜重时遵循以下最佳实践:
- 选择可为应用提供所需最低访问权限级别的范围。如需查看可用范围的列表,请参阅 Google API 适用的 OAuth 2.0 范围。
- 查看三个部分中列出的范围:非敏感范围、敏感范围和受限范围。对于“您的敏感范围”或“您的受限范围”部分中列出的任何范围,请尝试找出替代性的非敏感范围,以免进行不必要的额外审核。
- 某些镜重需要 Google 进行额外审核。对于仅供 Google Workspace 组织内部使用的应用,权限请求页面上不会列出范围,并且使用受限或敏感范围不需要 Google 进一步审核。如需了解详情,请参阅范围类别。
- 选择应用所需的镜重后,点击保存。
如需详细了解如何配置 OAuth 权限征求,请参阅 使用入门。
2. 创建 OAuth 2.0 凭据
您可以通过两种不同的方式创建 OAuth 2.0 凭据,具体取决于您构建应用的方式。
如果您在 Apps 脚本中构建了应用
将您的 Apps 脚本项目从其默认的 Cloud 项目切换到新的标准项目。如需了解详情,请参阅切换到其他标准 Cloud 项目。
将 Apps 脚本项目与 Cloud 项目相关联后,系统会自动创建 OAuth 2.0 凭据。
如果您未使用 Apps 脚本构建应用
如需创建 OAuth 2.0 凭据,请参阅 OAuth 客户端 ID 凭据。
3. 提交以进行 OAuth 验证(仅限公开应用)
如果您的应用使用 Google API 访问 Google 用户数据,则在发布之前可能需要接受验证流程。
提交前须知
虽然您应该能够完成本页面上的第一步和第二步,但在完成与此流程同时进行的一些额外的 Marketplace 发布步骤之前,您可能无法提交应用以进行 OAuth 验证。
例如,若要创建 Google 课堂插件,您必须按照在 Google Workspace Marketplace SDK 中配置您的应用 中的步骤,在 Marketplace SDK 中创建草稿应用详情。然后,您可以使用草稿应用详情创建 OAuth 验证所需的演示视频。完成验证后,您就可以提交草稿应用详情以供应用审核。
如需大致了解提交步骤,请参阅发布应用
OAuth 验证审核
如果您的应用使用敏感或受限范围,则必须接受 OAuth 验证审核流程。
对于 OAuth 验证,您必须提交演示视频,演示向用户说明所请求的范围或数据的使用方式的流程或历程。如需了解详情,请观看演示视频。
如果您的应用使用受限范围,可能还需要接受安全评估。
如需了解详情,请参阅 OAuth 应用验证帮助中心。
如需提交以供验证,请按以下步骤操作:
- 在 Google Cloud 控制台中,依次点击“菜单”图标 > API 和服务 > OAuth 权限请求页面。
- 点击项目选择器,然后选择您的项目。
- 点击修改应用
- 输入所需信息,然后点击提交以进行验证。
- 在需要验证对话框中,输入适当的理由,然后点击提交以开始验证流程。
如果您更新应用以使用敏感或受限的其他范围,则必须再次提交应用以进行 OAuth 验证。您无需再次将其送审。
OAuth 验证与应用审核的区别
OAuth 验证与应用审核是两个不同的流程。该政策旨在确保您的意见征求页面准确反映应用的身份和用途,并确保您的应用不会滥用用户数据。只有在您的应用通过 OAuth 验证后,您的应用详情才能获得批准。如需详细了解 OAuth 验证,请参阅 OAuth 常见问题解答。
应用审核重点关注您在 Google Workspace Marketplace SDK 中提供的信息,以及应用的功能和易用性。如需详细了解应用审核标准,请参阅 Google Workspace Marketplace 的应用审核流程和要求。