OAuth 2.0 politikalarına uyma

Uygulanmış çözümünüzü, geliştirme ortamınızın ötesinde uygulamanızın kullanıcılarına dağıtmaya hazır olduğunuzda Google'ın OAuth 2.0 Politikaları'na uymak için ek adımlar atmanız gerekebilir. Bu kılavuzda, uygulamanızı üretime hazırlarken karşılaşılan en yaygın geliştirici sorunlarına nasıl uyum sağlayacağınız açıklanmaktadır. Bu, sınırlı bir hatayla mümkün olan en geniş kitleye ulaşmanıza yardımcı olur.

Test ve üretim için ayrı projeler kullanma

Google'ın OAuth politikaları, test ve üretim için ayrı projeler gerektirir. Bazı politika ve şartlar yalnızca üretim uygulamaları için geçerlidir. Uygulamanızın tüm Google Hesaplarında kullanılabilen üretim sürümüne karşılık gelen OAuth istemcileri içeren ayrı bir proje oluşturmanız ve yapılandırmanız gerekebilir.

Üretimde kullanılan Google OAuth istemcileri, aynı uygulamayı test eden veya hata ayıklayan benzer OAuth istemcilerinden daha kararlı, tahmin edilebilir ve güvenli bir veri toplama ve depolama ortamı sağlar. Üretim projeniz doğrulama için gönderilebilir ve bu nedenle, üçüncü taraf güvenlik değerlendirmeleri de dahil olmak üzere belirli API kapsamları için ek şartlara tabi olabilir.

  1. Go to the Google API Console. Click Create project, enter a name, and click Create.
  2. Bu projedeki, test katmanınızla ilişkilendirilmiş olabilecek OAuth istemcilerini inceleyin. Mümkünse üretim projenizdeki üretim istemcileri için benzer OAuth istemcileri oluşturun.
  3. İstemcileriniz tarafından kullanılan tüm API'leri etkinleştirin.
  4. Yeni projedeki OAuth İzin Ekranı yapılandırmanızı inceleyin.

Üretimde kullanılan Google OAuth istemcileri, yalnızca size veya geliştirme ekibinize açık olan test ortamları, yönlendirme URI'leri veya JavaScript kaynakları içermemelidir. Aşağıda bazı örnekler verilmiştir:

  • Bağımsız geliştiricilerin test sunucuları
  • Uygulamanızın yayın öncesi sürümlerini test etme veya yayın öncesi

Proje için ilgili kişilerin listesini tutmak

Google'ın ve etkinleştirdiğiniz her API'nin, hizmetlerinde yapılan değişiklikler veya projeniz ile istemcileri için gerekli yeni yapılandırmalar hakkında sizinle iletişime geçmesi gerekebilir. Ekibinizdeki ilgili kişilerin proje yapılandırmanızı düzenleme veya görüntüleme erişimine sahip olduğundan emin olmak için projenizin IAM girişlerini inceleyin. Bu hesaplara, projenizde yapılması gereken değişiklikler hakkında e-posta da gönderilebilir.

Rol, proje kaynakları üzerinde belirli işlemleri gerçekleştirmenizi sağlayan bir izin grubu içerir. Proje düzenleyicilerin, durumu değiştiren işlemler (ör. projenizin OAuth izin ekranında değişiklik yapma yetkisi) için izinleri vardır. Tüm düzenleyici izinlerine sahip proje sahipleri, projeyle ilişkilendirilmiş hesaplar ekleyip kaldırabilir veya projeyi silebilir. Proje sahipleri, fatura bilgilerinin neden ayarlanmış olabileceğine dair bağlam da sağlayabilir. Proje sahipleri, ücretli API'ler kullanan bir proje için fatura bilgilerini ayarlayabilir.

Proje sahipleri ve düzenleyicileri güncel tutulmalıdır. Projeye ve ilgili bakımlara sürekli erişim sağlamak için projenize birden fazla alakalı hesap ekleyebilirsiniz. Projenizle ilgili bildirimler veya hizmetlerimizde güncellemeler olduğunda bu hesaplara e-posta göndeririz. Google Cloud kuruluş yöneticileri, kuruluşlarındaki her projeyle erişilebilir bir kişinin ilişkilendirildiğinden emin olmalıdır. Projenizle ilgili güncel iletişim bilgilerine sahip değilsek işlem yapmanızı gerektiren önemli mesajları kaçırabilirsiniz.

Kimliğinizi doğru şekilde temsil edin

Kullanıcılara gösterilecek geçerli bir uygulama adı ve isteğe bağlı olarak bir logo sağlayın. Bu marka bilgileri, uygulamanızın kimliğini doğru bir şekilde temsil etmelidir. Uygulama marka bilinci oluşturma bilgileri OAuth Consent Screen page'dan yapılandırılır.

Üretim uygulamaları için OAuth izin ekranınızda tanımlanan marka bilgilerinin kullanıcılara gösterilmeden önce doğrulanması gerekir. Marka doğrulaması tamamlandıktan sonra kullanıcıların uygulamanıza erişim izni verme olasılığı daha yüksek olabilir. Uygulamanın adı, ana sayfası, hizmet şartları ve gizlilik politikası da dahil olmak üzere temel başvuru bilgileri, kullanıcılara hibe ekranında, mevcut erişim izinlerini incelerken veya kuruluşları tarafından uygulama kullanımını inceleyen Google Workspace yöneticilerine gösterilir.

Google, kimliğini yanlış beyan eden veya kullanıcıları yanıltmaya çalışan uygulamaların hem Google API Hizmetleri hem de diğer Google ürün ve hizmetlerine erişimini iptal edebilir veya askıya alabilir.

Yalnızca ihtiyacınız olan kapsamları isteyin

Uygulamanızı geliştirirken, API'nin özellikleri ve işlevleri hakkında daha fazla bilgi edinmek amacıyla uygulamanızda bir kavram kanıtlama oluşturmak için API tarafından sağlanan örnek bir kapsamı kullanmış olabilirsiniz. Bu örnek kapsamlar, belirli bir API ile ilgili tüm olası işlemleri kapsamlı bir şekilde kapsadığından genellikle uygulamanızın ihtiyaç duyduğu nihai uygulamadan daha fazla bilgi ister. Örneğin, uygulamanız yalnızca okuma izinleri gerektirirken örnek kapsam okuma, yazma ve silme izinleri isteyebilir. Uygulamanızın uygulanması için gereken kritik bilgilerle sınırlı olan ilgili izinleri isteyin.

Uygulamanızın çağırdığı API uç noktalarıyla ilgili referans belgelerini inceleyin ve uygulamanızın ihtiyaç duyduğu ilgili verilere erişmek için gerekli kapsamları not edin. API'nin sunduğu yetkilendirme kılavuzlarını inceleyin ve en yaygın kullanımı dahil etmek için bunların kapsamlarını daha ayrıntılı bir şekilde açıklayın. Uygulamanızın ilgili özellikleri desteklemek için ihtiyaç duyduğu, minimum veri erişimini seçin.

Bu gereksinim hakkında daha fazla bilgi için OAuth 2.0 Politikaları'nın Yalnızca ihtiyacınız olan istek kapsamları bölümünü ve Google API Hizmetleri Kullanıcı Verileri Politikası'nın İlgili izinleri isteme bölümünü okuyun.

Hassas veya kısıtlanmış kapsamlar kullanan üretim uygulamalarını doğrulama için gönderme

Belirli kapsamlar "hassas" veya "kısıtlı" olarak sınıflandırılır ve üretim uygulamalarında incelenmeden kullanılamaz. Üretim uygulamanızın kullandığı tüm kapsamları OAuth İzin Ekranı yapılandırmasına girin. Üretim uygulamanız hassas veya kısıtlanmış kapsamlar kullanıyorsa kapsamları bir yetkilendirme isteğine eklemeden önce doğrulama için bu kapsamları kullanımınızı göndermeniz gerekir.

Yalnızca sahibi olduğunuz alanları kullanın

Google'ın OAuth izin ekranı doğrulama süreci; projenizin ana sayfası, gizlilik politikası, hizmet şartları, yetkili yönlendirme URI'leri veya yetkili JavaScript kaynaklarıyla ilişkili tüm alanların doğrulanmasını gerektirir. Uygulamanızın kullandığı alanların listesini inceleyin. Bu liste, OAuth izin ekranı düzenleyicisinin Yetkili alanlar bölümünde özetlenmiştir. Ardından, sahibi olmadığınız ve bu nedenle doğrulayamayacağınız alanları belirleyin. Projenizin yetkili alanlarının sahipliğini doğrulamak için Google Search Console'u kullanın. Projenizle ilişkili bir Google Hesabı'nı API Console Sahip veya Düzenleyici olarak kullanın.

Projeniz ortak ve paylaşılan bir alana sahip bir servis sağlayıcı kullanıyorsa kendi alanınızın kullanılmasına izin verecek yapılandırmaları etkinleştirmenizi öneririz. Bazı sağlayıcılar, hizmetlerini halihazırda sahip olduğunuz bir alanın alt alan adıyla eşlemeyi önerir.

Üretim uygulamaları için ana sayfayı barındırma

OAuth 2.0 kullanan her üretim uygulamasının genel erişime açık bir ana sayfası olmalıdır. Uygulamanızın potansiyel kullanıcıları, uygulamanın sunduğu özellikler ve işlevler hakkında daha fazla bilgi edinmek için ana sayfayı ziyaret edebilir. Mevcut kullanıcılar, tekliflerinizi kullanmaya devam ettiklerini hatırlatmak için mevcut izin listelerini inceleyebilir ve uygulamanızın ana sayfasını ziyaret edebilirler.

Uygulamanızın ana sayfası, uygulamanın işleviyle ilgili bir açıklamanın yanı sıra bir gizlilik politikası ve isteğe bağlı hizmet şartlarının bağlantılarını içermelidir. Ana sayfa, sahibi olduğunuz doğrulanmış bir alanda bulunmalıdır.

Güvenli yönlendirme URI'leri ve JavaScript kaynaklarını kullanın

Web uygulamaları için OAuth 2.0 istemcileri, verilerinin güvenliğini düz HTTP yerine HTTPS yönlendirme URI'leri ve JavaScript kaynakları ile sağlamalıdır. Google, güvenli bir bağlamdan kaynaklanmayan veya çözümlenmeyen OAuth isteklerini reddedebilir.

Hangi üçüncü taraf uygulamaların ve komut dosyalarının jetonlara ve sayfanıza dönen diğer kullanıcı kimlik bilgilerine erişimi olabileceğini düşünün. Jeton verilerini doğrulamak ve depolamakla sınırlı olan yönlendirme URI'si konumlarıyla hassas verilere erişimi sınırlandırın.

Sonraki adımlar

Uygulamanızın bu sayfadaki OAuth 2.0 politikalarına uygun olduğundan emin olduktan sonra, doğrulama süreci hakkında ayrıntılı bilgi için Marka doğrulamasına gönderme sayfasına bakın.