Uygulanan çözümünüzü geliştirme ortamınızın dışında uygulamanızın kullanıcılarına dağıtmak için hazır olduğunuzda Google'ın OAuth 2.0 Politikaları'na uymak için ek adımlar atmanız gerekebilir. Bu kılavuzda, uygulamanızı üretim için hazırlarken en sık karşılaşılan geliştirici sorunlarıyla nasıl uyumlu olacağı açıklanmaktadır. Bu, sınırlı hatalarla mümkün olan en geniş kitleye ulaşmanıza yardımcı olur.
- Test ve üretim için ayrı projeler kullanın
- Projeyle alakalı kişilerin listesini tutma
- Kimliğinizi doğru şekilde temsil etme
- Yalnızca ihtiyaç duyduğunuz kapsamları isteyin
- Hassas veya kısıtlanmış kapsamlar kullanan üretim uygulamalarını doğrulama için gönderme
- Yalnızca sahip olduğunuz alanları kullanma
- Üretim uygulamaları için ana sayfa barındırma
- Güvenli yönlendirme URI'leri ve JavaScript kaynaklarını kullanın
Test ve üretim için ayrı projeler kullanın
Google’ın OAuth politikaları test ve üretim için ayrı projeler gerektirir. Bazı politikalar ve şartlar yalnızca üretim uygulamaları için geçerlidir. Uygulamanızın, tüm Google Hesaplarında kullanılabilen üretim sürümüne karşılık gelen OAuth istemcilerini içeren ayrı bir proje oluşturmanız ve yapılandırmanız gerekebilir.
Üretimde kullanılan Google OAuth istemcileri, aynı uygulamayı test eden veya hata ayıklayan benzer OAuth istemcilerine kıyasla daha kararlı, tahmin edilebilir ve güvenli bir veri toplama ve depolama ortamı sağlamaya yardımcı olur. Üretim projeniz doğrulama için gönderilebilir. Bu nedenle, üçüncü taraf güvenlik değerlendirmeleri gibi belirli API kapsamlarıyla ilgili ek şartlara tabi olabilir.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Bu projede, test katmanınızla ilişkili olabilecek OAuth istemcilerini inceleyin. Geçerliyse üretim projeniz içindeki üretim istemcileri için benzer OAuth istemcileri oluşturun.
- Müşterileriniz tarafından kullanılan tüm API'leri etkinleştirin.
- Yeni projede OAuth İzin Ekranı yapılandırmanızı inceleyin.
Üretimde kullanılan Google OAuth istemcileri, yalnızca sizin veya geliştirme ekibinizin kullanabileceği test ortamları, yönlendirme URI'leri veya JavaScript kaynakları içermemelidir. Aşağıda birkaç örnek verilmiştir:
- Geliştiricilerin test sunucuları
- Uygulamanızın test veya yayın öncesi sürümleri
Proje için ilgili kişilerin listesini tutma
Google ve etkinleştirdiğiniz bağımsız API'ler, hizmetlerinde yapılan değişiklikler veya projeniz ve müşterileri için gereken yeni yapılandırmalarla ilgili olarak sizinle iletişime geçebilir. Ekibinizdeki ilgili kişilerin proje yapılandırmanızı düzenleme veya görüntüleme erişimi olduğundan emin olmak için projenizin IAM girişlerini inceleyin. Bu hesaplar, projenizde yapılması gereken değişiklikler hakkında da e-posta alabilir.
Rol, proje kaynaklarında belirli işlemleri gerçekleştirmenizi sağlayan bir dizi izin içerir. Proje düzenleyicilerinin, projenizin OAuth izin ekranında değişiklik yapma gibi durum değiştiren işlemler için izinleri vardır. Tüm düzenleyici izinlerine sahip proje sahipleri, projeyle ilişkili hesapları ekleyebilir, kaldırabilir veya projeyi silebilir. Proje sahipleri, fatura bilgilerinin neden ayarlanabileceği ile ilgili bağlam bilgisi de sağlayabilir. Proje sahipleri, ücretli API'lerin kullanıldığı bir proje için fatura bilgilerini ayarlayabilir.
Proje sahipleri ve düzenleyenler güncel tutulmalıdır. Projeye sürekli erişimi ve ilgili bakımı sağlamak için projenize birden fazla alakalı hesap ekleyebilirsiniz. Projenizle ilgili bildirim veya hizmetlerimizde güncelleme olduğunda bu hesaplara e-posta göndeririz. Google Cloud kuruluş yöneticileri, kuruluşlarındaki her projeyle erişilebilir bir kişinin ilişkilendirildiğinden emin olmalıdır. Elinizde projenizle ilgili güncel iletişim bilgileri yoksa işlem yapmanızı gerektiren önemli mesajları kaçırabilirsiniz.
Kimliğinizi doğru yansıtın
Kullanıcılara gösterilecek geçerli bir uygulama adı ve isteğe bağlı olarak bir logo sağlayın. Bu marka bilgileri, uygulamanızın kimliğini doğru şekilde temsil etmelidir. Uygulama markalama bilgileri OAuth Consent Screen page'tan yapılandırılır.
Üretim uygulamalarında, OAuth izin ekranınızda tanımlanan marka bilgileri kullanıcılara gösterilmeden önce doğrulanmalıdır. Marka doğrulaması tamamlandıktan sonra kullanıcıların uygulamanıza erişim izni verme olasılığı daha yüksek olabilir. Uygulamanın adını, ana sayfasını, hizmet şartlarını ve gizlilik politikasını içeren temel uygulama bilgileri, kullanıcılara hibe ekranında, mevcut hibelerini incelediklerinde veya kuruluşları tarafından uygulama kullanımını inceleyen Google Workspace yöneticilerine gösterilir.
Google, kimliklerini yanlış beyan eden veya kullanıcıları aldatmaya çalışan uygulamalar için Google API Hizmetlerine ve diğer Google ürün ve hizmetlerine erişimi iptal edebilir ya da askıya alabilir.
Yalnızca ihtiyacınız olan kapsamları isteyin
Uygulamanızın geliştirme aşamasında, API'nin özellikleri ve işlevleri hakkında daha fazla bilgi edinmek için uygulamanızda bir kavram kanıtı oluşturmak amacıyla API tarafından sağlanan örnek bir kapsamı kullanmış olabilirsiniz. Bu örnek kapsamlar, belirli bir API ile ilgili mümkün olan tüm işlemlerin kapsamlı bir kapsama sahip olmasını sağladığından, genellikle uygulamanızın son uygulamasına göre daha fazla bilgi ister. Örneğin, örnek kapsamı yalnızca okuma izinleri gerektirirken okuma, yazma ve silme izinleri isteyebilir. Başvurunuzu uygulamak için gereken kritik bilgilerle sınırlı olan alakalı izinler isteyin.
Uygulamanızın çağırdığı API uç noktaları için referans belgeleri inceleyin ve uygulamanızın ihtiyaç duyduğu alakalı verilere erişmek için ihtiyaç duydukları kapsamları not edin. API'nin sunduğu tüm yetkilendirme kılavuzlarını inceleyip bunların kapsamlarını, en yaygın kullanımı içerecek şekilde daha ayrıntılı olarak açıklayın. Uygulamanızın ilgili özellikleri desteklemek için ihtiyaç duyduğu en düşük veri erişimini seçin.
Bu koşul hakkında daha fazla bilgi edinmek için OAuth 2.0 Politikaları'nın Yalnızca ihtiyacınız olan kapsamları isteyin bölümünü ve Google API Hizmetleri Kullanıcı Verileri Politikası'nın Alakalı izinler isteyin bölümünü okuyun.
Doğrulama için hassas veya kısıtlanmış kapsamlar kullanan üretim uygulamaları gönder
Belirli kapsamlar"hassas"veya"kısıtlanmış"olarak sınıflandırılır ve üretim uygulamalarında incelenmeden kullanılamaz. Üretim uygulamanızın kullandığı tüm kapsamları OAuth İzin Ekranı yapılandırmasına girin. Üretim uygulamanız hassas veya kısıtlanmış kapsamlar kullanıyorsa kapsamları bir yetkilendirme isteğine dahil etmeden önce doğrulama için bu kapsamları göndermeniz gerekir.
Yalnızca sahip olduğunuz alanları kullanma
Google'ın OAuth izin ekranı doğrulama süreci, projenizin ana sayfası, gizlilik politikası, hizmet şartları, yetkili yönlendirme URI'leri veya yetkili JavaScript kaynaklarıyla ilişkili tüm alanların doğrulanmasını gerektirir. Uygulamanızın kullandığı alan adlarının (OAuth izin ekranı düzenleyicisinin Yetkili alanlar bölümünde özetlenen) listesini inceleyin, sahip olmadığınız ve doğrulayamayacağınız alanları belirleyin. Projenizin yetkili alanlarının sahipliğini doğrulamak için Google Search Console'u kullanın. Projeniz veya Düzenleyici olarak API Console projenizle ilişkili bir Google Hesabı kullanın.
Projeniz ortak ve paylaşılan bir alana sahip bir servis sağlayıcı kullanıyorsa kendi alanınızın kullanılmasını sağlayacak yapılandırmaları etkinleştirmenizi öneririz. Bazı sağlayıcılar, hizmetlerini zaten size ait olan bir alanın alt alanıyla eşleştirmeyi teklif eder.
Üretim uygulamaları için bir ana sayfa barındırma
OAuth 2.0 kullanan her üretim uygulamasının herkesin erişebileceği bir ana sayfası olmalıdır. Uygulamanızın potansiyel kullanıcıları, uygulamanın sunduğu özellikler ve işlevler hakkında daha fazla bilgi edinmek için ana sayfayı ziyaret edebilirler. Mevcut kullanıcılar, mevcut hibe listelerini inceleyebilir ve tekliflerinizi kullanmaya devam ettiklerini hatırlatmak için uygulamanızın ana sayfasını ziyaret edebilirler.
Uygulamanızın ana sayfasında, uygulamanın işlevselliğiyle ilgili bir açıklamanın yanı sıra gizlilik politikasının ve isteğe bağlı hizmet şartlarının bağlantıları yer almalıdır. Ana sayfa, sahipliğiniz altında doğrulanmış bir alanda bulunmalıdır.
Güvenli yönlendirme URI'leri ve JavaScript kaynakları kullanın
Web uygulamaları için OAuth 2.0 istemcileri, düz HTTP yerine HTTPS yönlendirme URI'leri ve JavaScript kaynakları kullanarak verilerinin güvenliğini sağlamalıdır. Google, güvenli olmayan bir kaynaktan gelen veya bu isteklere çözümlenen OAuth isteklerini reddedebilir.
Hangi üçüncü taraf uygulamalarının ve komut dosyalarının, sayfanıza geri gelen jetonlara ve diğer kullanıcı kimlik bilgilerine erişimi olabileceğini değerlendirin. Jeton verilerinin doğrulanması ve depolanmasıyla sınırlı olan yönlendirme URI'si konumları ile hassas verilere erişimi sınırlandırın.
Sonraki adımlar
Uygulamanızın bu sayfadaki OAuth 2.0 politikalarına uyduğundan emin olduktan sonra, doğrulama işlemiyle ilgili ayrıntılar için Marka doğrulaması için gönderme bölümüne bakın.