Xác minh ứng dụng OAuth

Các ứng dụng OAuth của Google yêu cầu các phạm vi OAuth nhạy cảm nhất định đều phải được Google xác minh.

Nếu bạn không xác minh ứng dụng OAuth của dự án tập lệnh, những người dùng bên ngoài miền của bạn sẽ thấy màn hình ứng dụng chưa được xác minh khi họ cố gắng cho phép tập lệnh của bạn. Quy trình uỷ quyền chưa được xác minh cho phép những người dùng này uỷ quyền cho các ứng dụng chưa được xác minh và sử dụng những ứng dụng này, nhưng chỉ sau khi xác nhận rằng họ hiểu rõ các rủi ro. Tổng số người dùng ứng dụng chưa xác minh cũng bị giới hạn.

Để biết thêm thông tin, hãy xem các bài viết sau:

 

Màn hình ứng dụng chưa được xác minh
Hình 1: Màn hình ứng dụng chưa được xác minh
Quy trình uỷ quyền ứng dụng chưa được xác minh
Hình 2: Quy trình uỷ quyền ứng dụng chưa được xác minh

 

Thay đổi này áp dụng cho các ứng dụng web trên Google OAuth, bao gồm cả những ứng dụng được tất cả dự án Apps Script sử dụng. Bằng cách xác minh ứng dụng của bạn bằng Google, bạn có thể xóa màn hình ứng dụng chưa được xác minh khỏi quy trình ủy quyền và đảm bảo với người dùng rằng ứng dụng của bạn là độc hại.

Ứng dụng chưa được xác minh

Tiện ích bổ sung, ứng dụng web và các hoạt động triển khai khác (chẳng hạn như các ứng dụng sử dụng API Apps Script) có thể cần xác minh.

Khả năng áp dụng

Nếu ứng dụng sử dụng phạm vi OAuth nhạy cảm, thì màn hình ứng dụng chưa được xác minh có thể xuất hiện trong quy trình uỷ quyền. Sự hiện diện của ứng dụng (và quy trình ủy quyền ứng dụng chưa được xác minh) phụ thuộc vào tài khoản ứng dụng được xuất bản và tài khoản đang cố sử dụng ứng dụng. Ví dụ: các ứng dụng được xuất bản trong một tổ chức Google Workspace cụ thể không dẫn đến quy trình uỷ quyền ứng dụng chưa được xác minh cho các tài khoản trong miền đó, ngay cả khi ứng dụng chưa được xác minh.

Bảng sau đây minh hoạ các tình huống dẫn đến quy trình uỷ quyền ứng dụng chưa được xác minh:

Khách hàng đã được xác minh Nhà xuất bản là tài khoản Google Workspace của khách hàng A Tập lệnh nằm trong bộ nhớ dùng chung của khách hàng A Nhà xuất bản là tài khoản Gmail
Người dùng là tài khoản Google Workspace của khách hàng A Quy trình xác thực thông thường Quy trình xác thực thông thường Quy trình xác thực thông thường Quy trình xác thực chưa được xác minh
Người dùng là tài khoản Google Workspace không phải là khách hàng A Quy trình xác thực thông thường Quy trình xác thực chưa được xác minh Quy trình xác thực chưa được xác minh Quy trình xác thực chưa được xác minh
Người dùng là tài khoản Gmail1 Quy trình xác thực thông thường Quy trình xác thực chưa được xác minh Quy trình xác thực chưa được xác minh Quy trình xác thực chưa được xác minh

1Mọi tài khoản Gmail, bao gồm cả tài khoản dùng để phát hành ứng dụng.

Giới hạn người dùng

Số lượng người dùng có thể uỷ quyền cho một ứng dụng thông qua luồng ứng dụng chưa được xác minh sẽ được giới hạn để hạn chế tình trạng lạm dụng có thể xảy ra. Xem Giới hạn người dùng ứng dụng OAuth để biết thông tin chi tiết.

Yêu cầu xác minh

Bạn có thể yêu cầu xác minh ứng dụng OAuth mà ứng dụng của bạn và dự án Cloud Platform (GCP) liên kết. Sau khi ứng dụng được xác minh, người dùng sẽ không còn thấy màn hình ứng dụng chưa được xác minh. Ngoài ra, ứng dụng của bạn sẽ không còn tuân theo giới hạn người dùng.

Yêu cầu

Để gửi ứng dụng OAuth để xác minh, bạn phải đáp ứng các yêu cầu sau:

  1. Bạn phải sở hữu một trang web trên một miền. Trang web phải lưu trữ các trang có thể truy cập công khai, mô tả ứng dụng của bạn và chính sách quyền riêng tư của ứng dụng. Bạn cũng phải xác minh quyền sở hữu trang web với Google.

  2. Dự án GCP mà dự án tập lệnh của bạn sử dụng phải là một dự án GCP chuẩn mà bạn có quyền chỉnh sửa. Nếu tập lệnh của bạn đang sử dụng dự án GCP mặc định, thì bạn phải chuyển sang dự án GCP chuẩn.

Ngoài ra, bạn phải có các thành phần bắt buộc sau:

  • Tên ứng dụng. Tên của ứng dụng; tên này được hiển thị trên màn hình xin phép. Tên này phải khớp với tên dùng cho ứng dụng ở các vị trí khác, chẳng hạn như trang thông tin Google Workspace Marketplace dành cho các ứng dụng đã phát hành.
  • Biểu trưng ứng dụng. Biểu tượng ứng dụng JPEG, PNG hoặc BMP để sử dụng trong màn hình đồng ý. Kích thước tệp tối đa là 1 MB.
  • Email hỗ trợ. Đây là email hiển thị trên màn hình đồng ý để người dùng liên hệ nếu họ cần hỗ trợ ứng dụng. Đó có thể là địa chỉ email của bạn hoặc một Nhóm Google mà bạn sở hữu hoặc quản lý.
  • Phạm vi. Danh sách tất cả các phạm vi mà ứng dụng của bạn sử dụng. Bạn có thể xem phạm vi của mình trong trình chỉnh sửa Apps Script.
  • Miền được phép. Đây là danh sách các miền chứa thông tin về ứng dụng của bạn. Tất cả đường liên kết đến ứng dụng của bạn (chẳng hạn như trang chính sách quyền riêng tư bắt buộc) đều phải được lưu trữ trên các miền được uỷ quyền.
  • URL trang chủ của ứng dụng. Vị trí của trang chủ mô tả ứng dụng của bạn. Vị trí này phải được lưu trữ trên một miền được ủy quyền.
  • URL chính sách quyền riêng tư của ứng dụng. Vị trí của trang mô tả chính sách quyền riêng tư của ứng dụng. Vị trí này phải được lưu trữ trên một miền được cấp phép.

Ngoài các thành phần bắt buộc nêu trên, bạn có thể tuỳ ý cung cấp một URL của Điều khoản dịch vụ cho ứng dụng trỏ đến một trang mô tả điều khoản dịch vụ của ứng dụng của bạn. Nếu được cung cấp, vị trí này phải thuộc miền được ủy quyền.

Các bước

  1. Nếu bạn chưa làm vậy, hãy xác minh quyền sở hữu đối với tất cả các miền được uỷ quyền mà bạn sử dụng để lưu trữ chính sách quyền riêng tư của dự án tập lệnh và các thông tin khác. Chủ sở hữu đã xác minh của các miền phải là người chỉnh sửa hoặc chủ sở hữu của dự án tập lệnh.
  2. Trong dự án Apps Script, hãy nhấp vào biểu tượng Tổng quan . Trong mục Project OAuth Scope (Phạm vi OAuth của dự án), hãy sao chép các phạm vi mà dự án tập lệnh của bạn sử dụng.

  3. Hoàn tất màn hình xin phép bằng OAuth cho dự án Google Cloud của ứng dụng bằng cách sử dụng tài sản văn bản và URL mà bạn đã thu thập.

    1. Liệt kê các Miền được ủy quyền nơi lưu trữ thông tin của ứng dụng (chẳng hạn như chính sách quyền riêng tư của ứng dụng).

    2. Để thêm phạm vi ứng dụng, hãy nhấp vào Thêm hoặc xoá phạm vi. Hộp thoại kết quả sẽ cố gắng tự động phát hiện phạm vi cho các API bạn đã bật trong Cloud Console (chẳng hạn như các dịch vụ nâng cao). Bạn có thể chọn các phạm vi từ danh sách này bằng cách chọn các hộp tương ứng.

      Danh sách được phát hiện tự động này không phải lúc nào cũng bao gồm các phạm vi mà dịch vụ tích hợp của Apps Script sử dụng. Bạn phải nhập các phạm vi này trong phần Thêm phạm vi theo cách thủ công.

      Khi bạn hoàn tất, hãy nhấp vào Cập nhật.

  4. Khi bạn đã nhập tất cả thông tin bắt buộc, hãy nhấp vào Lưu.

  5. Nhấp vào Gửi để xác minh để bắt đầu một yêu cầu xác minh.

Hầu hết các yêu cầu xác minh đều nhận được phản hồi trong vòng 24 đến 72 giờ. Bạn có thể kiểm tra Trạng thái xác minh ở đầu biểu mẫu màn hình xin phép bằng OAuth. Khi ứng dụng OAuth được xác minh, ứng dụng của bạn sẽ được xác minh.