Jika Anda sudah siap untuk men-deploy solusi yang telah diimplementasikan di luar lingkungan pengembangan kepada pengguna aplikasi, Anda mungkin perlu mengambil langkah tambahan untuk mematuhi Kebijakan OAuth 2.0 Google. Dalam panduan ini, kami menguraikan cara mematuhi masalah developer yang paling umum saat Anda menyiapkan aplikasi untuk produksi. Hal ini membantu Anda menjangkau audiens sebanyak mungkin dengan error yang terbatas.
- Menggunakan project terpisah untuk pengujian dan produksi
- Mengelola daftar kontak yang relevan untuk project
- Menampilkan identitas Anda secara akurat
- Hanya minta cakupan yang Anda perlukan
- Mengirimkan aplikasi produksi yang menggunakan cakupan sensitif atau yang dibatasi untuk verifikasi
- Hanya gunakan domain yang Anda miliki
- Menghosting halaman beranda untuk aplikasi produksi
- Gunakan URI pengalihan dan origin JavaScript yang aman
Menggunakan project terpisah untuk pengujian dan produksi
Kebijakan OAuth Google memerlukan project terpisah untuk pengujian dan produksi. Beberapa kebijakan dan persyaratan hanya berlaku untuk aplikasi produksi. Anda mungkin perlu membuat dan mengonfigurasi project terpisah yang menyertakan klien OAuth yang sesuai dengan versi produksi aplikasi Anda yang tersedia untuk semua Akun Google.
Klien OAuth Google yang digunakan dalam produksi membantu menyediakan lingkungan pengumpulan dan penyimpanan data yang lebih stabil, dapat diprediksi, dan aman daripada klien OAuth serupa yang menguji atau men-debug aplikasi yang sama. Project produksi Anda dapat dikirim untuk diverifikasi dan oleh karena itu tunduk pada persyaratan tambahan untuk cakupan API tertentu, yang mungkin mencakup penilaian keamanan pihak ketiga.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Tinjau klien OAuth dalam project ini yang mungkin dikaitkan dengan tingkat pengujian Anda. Jika berlaku, buat klien OAuth serupa untuk klien produksi di dalam project produksi Anda.
- Aktifkan API apa pun yang digunakan oleh klien Anda.
- Tinjau konfigurasi Layar Izin OAuth di project baru.
Klien OAuth Google yang digunakan dalam produksi tidak boleh berisi lingkungan pengujian, URI pengalihan, atau origin JavaScript yang hanya tersedia untuk Anda atau tim pengembangan Anda. Berikut adalah beberapa contohnya:
- Server pengujian dari masing-masing developer
- Menguji atau versi pra-rilis aplikasi
Menyimpan daftar kontak yang relevan untuk proyek
Google, dan setiap API yang Anda aktifkan, mungkin perlu menghubungi Anda terkait perubahan pada layanannya atau konfigurasi baru yang diperlukan untuk project Anda dan kliennya. Tinjau listingan IAM project Anda untuk memastikan orang yang relevan di tim Anda memiliki akses untuk mengedit atau melihat konfigurasi project Anda. Akun ini juga mungkin menerima email tentang perubahan yang diperlukan pada project Anda.
Peran berisi serangkaian izin yang memungkinkan Anda melakukan tindakan tertentu pada resource project. Editor project memiliki izin untuk tindakan yang mengubah status, seperti kemampuan untuk mengubah layar izin OAuth project Anda. Pemilik project yang memiliki semua izin editor dapat menambahkan atau menghapus akun yang terkait dengan project, atau menghapus project. Pemilik project juga dapat memberikan konteks terkait alasan penetapan informasi penagihan. Pemilik project dapat menyiapkan informasi penagihan untuk project yang menggunakan API berbayar.
Pemilik dan editor project harus terus mendapatkan informasi terbaru. Anda dapat menambahkan beberapa akun yang relevan ke project untuk membantu memastikan akses berkelanjutan ke project dan pemeliharaan terkait. Kami akan mengirim email ke akun tersebut saat ada notifikasi tentang project Anda atau informasi terbaru terkait layanan kami. Administrator organisasi Google Cloud harus memastikan bahwa kontak yang dapat dihubungi dikaitkan dengan setiap project di organisasi mereka. Jika kami tidak memiliki informasi kontak terbaru untuk project Anda, Anda mungkin akan melewatkan pesan penting yang memerlukan tindakan Anda.
Mewakili identitas Anda secara akurat
Berikan nama aplikasi yang valid dan, jika perlu, logo untuk ditampilkan kepada pengguna. Informasi merek ini harus mewakili identitas aplikasi Anda secara akurat. Informasi branding aplikasi dikonfigurasi dari Consent Screen pageOAuth.
Untuk aplikasi produksi, informasi merek yang ditentukan di layar izin OAuth Anda harus diverifikasi sebelum ditampilkan kepada pengguna. Pengguna mungkin lebih cenderung memberikan akses ke aplikasi Anda setelah menyelesaikan verifikasi merek. Informasi aplikasi dasar, yang mencakup nama, halaman beranda, persyaratan layanan, dan kebijakan privasi aplikasi, ditampilkan kepada pengguna di layar pemberian, saat mereka meninjau pemberian yang ada, atau kepada administrator Google Workspace yang meninjau penggunaan aplikasi oleh organisasi mereka.
Google dapat mencabut atau menangguhkan akses ke Layanan Google API serta produk dan layanan Google lainnya untuk aplikasi yang memberikan pernyataan tidak benar tentang identitasnya atau berupaya menipu pengguna.
Hanya minta cakupan yang Anda perlukan
Selama pengembangan aplikasi, Anda mungkin telah menggunakan contoh cakupan yang disediakan oleh API untuk membuat bukti konsep dalam aplikasi guna mempelajari lebih lanjut fitur dan fungsi API. Cakupan contoh ini sering kali meminta lebih banyak informasi daripada implementasi akhir kebutuhan aplikasi Anda, karena cakupan tersebut menyediakan cakupan komprehensif tentang semua kemungkinan tindakan untuk API tertentu. Misalnya, cakupan contoh mungkin meminta izin baca, tulis, dan hapus, sedangkan aplikasi Anda hanya memerlukan izin baca. Minta izin yang relevan yang terbatas pada informasi penting yang diperlukan untuk menerapkan aplikasi Anda.
Tinjau dokumentasi referensi untuk endpoint API yang dipanggil aplikasi Anda dan catat cakupan yang diperlukan untuk mengakses data relevan yang diperlukan aplikasi Anda. Tinjau panduan otorisasi yang ditawarkan API dan jelaskan cakupannya secara lebih mendetail untuk menyertakan penggunaan yang paling umum. Pilih akses data paling minimal yang diperlukan aplikasi Anda untuk mendukung fitur terkait.
Untuk mengetahui informasi selengkapnya tentang persyaratan ini, baca bagian Hanya minta cakupan yang Anda perlukan dalam Kebijakan OAuth 2.0, beserta bagian Meminta izin yang relevan dalam Kebijakan Data Pengguna Layanan Google API.
Mengirimkan aplikasi produksi yang menggunakan cakupan sensitif atau yang dibatasi untuk verifikasi
Cakupan tertentu diklasifikasikan sebagai "sensitif" atau "dibatasi" dan tidak dapat digunakan di aplikasi produksi tanpa peninjauan. Masukkan semua cakupan yang digunakan aplikasi produksi Anda dalam konfigurasi Layar Izin OAuth. Jika aplikasi produksi Anda menggunakan cakupan sensitif atau yang dibatasi, Anda harus mengirimkan penggunaan cakupan tersebut untuk diverifikasi sebelum menyertakan cakupan dalam permintaan otorisasi.
Hanya gunakan domain yang Anda miliki
Proses verifikasi layar izin OAuth Google mewajibkan verifikasi semua domain yang terkait dengan halaman beranda, kebijakan privasi, persyaratan layanan, URI pengalihan yang diotorisasi, atau asal JavaScript yang diotorisasi, Tinjau daftar domain yang digunakan oleh aplikasi Anda, yang diringkas di bagian Domain yang diberi otorisasi di editor layar izin OAuth, dan identifikasi domain yang tidak Anda miliki sehingga tidak dapat diverifikasi. Untuk memverifikasi kepemilikan domain yang diotorisasi project Anda, gunakan Google Search Console. Gunakan Akun Google yang dikaitkan dengan project API Console Anda sebagai Pemilik atau Editor.
Jika project Anda menggunakan penyedia layanan dengan domain bersama yang umum, sebaiknya Anda mengaktifkan konfigurasi yang akan mengizinkan penggunaan domain Anda sendiri. Beberapa penyedia menawarkan untuk memetakan layanan mereka ke subdomain domain yang sudah Anda miliki.
Menghosting halaman beranda untuk aplikasi produksi
Setiap aplikasi produksi yang menggunakan OAuth 2.0 harus memiliki halaman beranda yang dapat diakses secara publik. Calon pengguna aplikasi Anda dapat mengunjungi halaman beranda untuk mempelajari lebih lanjut fitur dan fungsi yang ditawarkan aplikasi. Pengguna lama dapat meninjau daftar hibah yang ada dan mengunjungi halaman beranda aplikasi Anda sebagai pengingat bahwa mereka terus menggunakan penawaran Anda.
Halaman beranda aplikasi Anda harus menyertakan deskripsi fungsi aplikasi, serta link ke kebijakan privasi dan persyaratan layanan opsional. Halaman beranda harus ada di domain terverifikasi milik Anda.
Menggunakan URI pengalihan dan asal JavaScript yang aman
Klien OAuth 2.0 untuk aplikasi web harus mengamankan datanya menggunakan URI pengalihan HTTPS dan origin JavaScript, bukan HTTP biasa. Google dapat menolak permintaan OAuth yang tidak berasal dari atau diselesaikan ke konteks yang aman.
Pertimbangkan aplikasi dan skrip pihak ketiga mana yang mungkin memiliki akses ke token dan kredensial pengguna lainnya yang kembali ke halaman Anda. Batasi akses ke data sensitif dengan lokasi URI pengalihan yang dibatasi untuk memverifikasi dan menyimpan data token.
Langkah berikutnya
Setelah Anda memastikan bahwa aplikasi Anda mematuhi kebijakan OAuth 2.0 di halaman ini, lihat Mengirimkan untuk verifikasi merek guna mengetahui detail tentang proses verifikasi.