所有访问 Google API 的应用都必须验证自身能准确反映其身份和 intent 是由 Google 的 API 服务用户指定的 数据政策中所述。为了保护您以及 Google 和您的应用的共享用户,您的意见征求页面和应用可能需要经过 Google 的验证。
如果您的应用符合以下所有条件,则需要接受验证:
- 在 Google API Console中,为用户设置了应用的配置 External 类型。也就是说,任何拥有 Google 账号。
- 您希望应用在 OAuth 同意屏幕。
如果您添加经过验证的品牌信息,可以提高用户识别该品牌的可能性 您的品牌,并决定授予应用访问权限。经过验证的品牌信息还会导致 用户或 Google Workspace 管理员日后撤消的次数减少 评价第三方应用和服务 拥有账号的访问权限。OAuth 同意屏幕品牌验证流程通常 需要 2-3 个业务 天后。
如果您未能提交品牌验证申请,可能会导致用户量减少 信任您请求其数据的请求,这可能会减少用户授权数量,等等 撤消。
OAuth 权限请求页面
权限请求页面会告知用户谁在请求访问他们的数据,以及您的应用需要代表用户访问哪些类型的数据,如图 1 的框 2 中所突出显示。
当您的应用完成品牌验证流程并获得批准时,您的 应用的身份和用户数据政策就更容易被 该账号正在授予权限这种明确的理解可以提高 账号持有人在审核可能的撤消请求后,会授权您的请求并保有访问权限 Google 账号页面。内容 您在 OAuth 的 Consent Screen page 上配置 API Console 会填充以下组件:
- 您的应用名称和徽标(如图 1 中的方框 1 所示)
- 您的用户支持电子邮件地址,在选择应用名称后显示(图中的第 2 个框) 1)
- 指向您的隐私权政策和服务条款的链接(图 1 的方框 3)
已获授权的网域
在品牌验证流程中,Google 要求验证 与应用的 OAuth 权限请求页面和凭据相关联。我们要求您验证可在公共后缀上注册的域名组件:“顶级私有网域”。例如,配置有应用的 OAuth 同意屏幕 “https://sub.example.com/product”的首页要求账号持有人进行验证 example.com 网域的所有权。
OAuth 同意屏幕编辑器的已获授权的网域部分必须包含顶部 应用网域部分的 URI 中使用的专用网域。这些网域包括 应用首页、隐私权政策和服务条款。已获授权的网域部分 还需要包含在您的“Web 应用”中授权的重定向 URI 和/或 JavaScript 源 application"OAuth 客户端类型。
使用以下网址验证您授权网域的所有权: Google Search Console。Google 以下账号的所有者权限: 一个网域必须与 API Console 项目关联 该已获授权的网域。如需详细了解如何在 Google Search Console 中验证域名,请参阅验证网站所有权。
验证准备工作
所有使用 Google API 请求数据访问权限的应用都必须执行以下步骤, 完成品牌验证:
- 确认您的应用不属于 验证要求的例外情况部分。
- 确保您的应用符合相关 API 的品牌塑造要求,或 产品。例如,请参阅 Google 登录权限范围的品牌推广指南。
- 验证项目的所有权 已获授权的网域 Google Search Console。使用 Google 与您的 API Console 项目关联的账号, 所有者或编辑者。
- 确保 OAuth 意见征求页面上的所有品牌信息(例如应用名称、支持电子邮件地址、首页 URI、隐私权政策 URI 等)准确反映了应用的身份。
应用首页要求
请确保您的首页符合以下要求:
- 您的首页必须可公开访问,而不是只有您网站的已登录用户才可以访问 用户。
- 您的首页与正在审核的应用的相关性必须明确。
- 系统不会考虑指向您的应用在 Google Play 商店中的商品详情的链接或应用 Facebook 页面的链接 有效的应用首页
应用隐私权政策链接要求
确保应用的隐私权政策符合以下要求:
- 隐私权政策必须对用户可见,且托管在您的 并且链接到了 OAuth 同意屏幕 Google API Console。请注意,首页必须包含应用功能的说明,以及指向隐私权政策和可选服务条款的链接。
- 隐私权政策必须披露您的应用访问、使用 存储或分享 Google 用户数据。 您只能按照您发布的内容中的规定,使用 Google 用户数据 隐私权政策。
如何提交您的应用进行验证
Google API Console 项目可以组织您的所有 API Console 资源。项目由一组关联的 有权执行项目操作的 Google 账号、一组已启用的 API,以及 结算、身份验证和监控设置。例如,项目可以 包含一个或多个 OAuth 客户端,配置 API 以供这些客户端使用, 在用户授权访问您的应用之前向其显示 OAuth 同意屏幕。
如果您有任何 OAuth 客户端尚未准备好投入使用,我们建议您从以下位置将其删除: 请求验证的项目。您可以在 Google API Console中执行此操作。
要提交供验证,请按以下步骤操作:
- 确保您的应用符合 Google API 服务条款和 Google API 服务用户数据政策。
- 确保项目的关联账号的所有者和编辑者角色处于最新状态,以及您的 OAuth 同意屏幕的用户支持电子邮件地址和开发者联系信息, API Console。这样可确保 团队会收到有关新要求的通知。
- 前往 API Console OAuth Consent Screen page。
- 点击项目选择器按钮。
-
在随即显示的请选择:对话框中,选择您的项目。如果您找不到 项目,但您知道项目 ID,则可以在浏览器中的 格式:
https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]
将 [PROJECT_ID] 替换为您要使用的项目 ID。
- 选择修改应用按钮。
- 在 OAuth 同意屏幕页面上输入必要的信息,然后选择保存 并继续按钮。
- 使用添加或移除范围按钮声明您的应用请求的所有范围。一个 Google 登录所需的初始范围已预先填充在 非敏感范围部分。添加的镜重会被归类为非敏感镜重, sensitive, or restricted。
- 最多可以提供三个指向应用中相关功能的任何相关文档的链接。
-
在后续阶段按照要求提供与您的应用有关的任何其他信息 步骤。
- 如果您提供的应用配置需要验证,您可以选择提交 应用进行验证。填写必填字段,然后点击提交以开始 验证流程。
您提交应用后,Google 的信任与安全团队会通过电子邮件跟进,告知您他们需要的任何其他信息或您必须完成的步骤。请在以下位置检查您的电子邮件地址: 开发者联系信息部分,以及 OAuth 同意声明的支持电子邮件地址 页面,获取额外信息。您还可以查看项目的 OAuth 同意屏幕页面,确认项目的当前审核状态,包括审核流程在等待您回复期间是否会暂停。
验证要求的例外情况
如果您的应用将用于以下部分中所述的任何场景,则无需提交以供审核。
个人使用
例如,如果您是应用的唯一用户,或者只有少数用户使用您的应用, 这些都是你自己熟知的。您和您的少数用户可能愿意接受 通过 未经验证的应用 屏幕,并向您的个人账号授予应用访问权限。
在开发、测试或预演阶段使用的项目
为此, 遵守 Google OAuth 2.0 政策,但我们建议您针对 测试和生产环境。我们建议您仅在希望向拥有 Google 账号的任何用户提供应用时,才提交应用以供验证。因此,如果您的应用 处于开发、测试或预演阶段,则无需进行验证。
如果您的应用正处于开发或测试阶段,您可以保留 发布状态 默认设置为 测试。此设置表示您的应用仍在开发中, 可供您添加到测试用户列表中的用户使用。您必须管理 Google 账号列表 与应用开发或测试相关的资源。
仅限由服务拥有的数据
如果您的应用使用服务账号只访问自己的数据,而不访问任何用户 数据(与 Google 账号关联),则不需要提交进行验证。
如需了解什么是服务账号,请参阅 Google Cloud 文档中的服务账号部分。如需了解如何使用服务账号,请参阅 将 OAuth 2.0 用于服务器到服务器 应用。
仅限内部使用
也就是说,只有您的 Google Workspace 或 Cloud Identity 中的人可以使用该应用 组织。该项目必须归组织所有,并且其 OAuth 同意屏幕需要针对内部用户类型进行配置。在这种情况下,您的应用可能需要获得组织管理员的批准。如需了解详情,请参阅 Google Workspace 的其他注意事项。
- 详细了解公开应用和内部应用。
- 如需了解如何将应用标记为内部应用,请参阅常见问题解答:如何将应用标记为仅限内部使用?
全网域安装
如果您计划让应用仅针对 Google Workspace 或 Cloud Identity 用户 并始终在整个网域范围内 安装,那么您的应用就不需要进行应用验证了。这是因为,在网域范围内安装后,网域管理员可以向第三方和内部应用授予访问您用户数据的权限。只有组织管理员才能将应用添加到 可在其网域内使用的许可名单
请参阅常见问题解答,了解如何让应用成为全网域安装 我的应用中有用户使用 企业账号。