OAuth 2.0 politikalarına uyma

Uyguladığınız çözümü geliştirme ortamınızın dışında uygulamanızın kullanıcılarına dağıtmaya hazır olduğunuzda Google'ın OAuth 2.0 Politikaları'na uymak için ek adımlar atmanız gerekebilir. Bu kılavuzda, uygulamanızı üretime hazırlarken karşılaşılan en yaygın geliştirici sorunlarına nasıl uyum sağlayacağınızı özetledik. Bu sayede, sınırlı sayıda hatayla mümkün olan en geniş kitleye ulaşabilirsiniz.

Test ve üretim için ayrı projeler kullanın

Google'ın OAuth politikaları test ve üretim için ayrı projeler gerektirir. Bazı politikalar ve şartlar yalnızca üretim uygulamaları için geçerlidir. Uygulamanızın tüm Google Hesaplarında kullanılabilen üretim sürümüne karşılık gelen OAuth istemcileri içeren ayrı bir proje oluşturmanız ve yapılandırmanız gerekebilir.

Üretimde kullanılan Google OAuth istemcileri, aynı uygulamayı test eden veya hata ayıklama yapan benzer OAuth istemcilerinden daha kararlı, tahmin edilebilir ve güvenli bir veri toplama ve depolama ortamı sunmaya yardımcı olur. Üretim projeniz doğrulanmak üzere gönderilebilir ve bu nedenle belirli API kapsamları için üçüncü taraf güvenlik değerlendirmelerini içerebilecek ek şartlara tabi olabilir.

  1. Bu projedeki, test katmanınızla ilişkilendirilmiş olabilecek OAuth istemcilerini inceleyin. Uygunsa üretim projenizdeki üretim istemcileri için benzer OAuth istemcileri oluşturun.
  2. İstemcilerinizin kullandığı tüm API'leri etkinleştirin.
  3. Yeni projedeki OAuth izin ekranı yapılandırmanızı inceleyin.

Üretimde kullanılan Google OAuth istemcileri, yalnızca sizin veya geliştirme ekibinizin erişebildiği test ortamları, yönlendirme URI'ları veya JavaScript kaynaklarını içermemelidir. Aşağıda birkaç örnek verilmiştir:

  • Geliştiricilerin test sunucuları
  • Uygulamanızın test veya yayın öncesi sürümlerini test etme

Projeyle ilgili ilgili kişilerin listesini tutma

Google'ın ve etkinleştirdiğiniz bağımsız API'lerin, hizmetlerinde yapılan değişiklikler veya projenizle istemcilerinin gerektirdiği yeni yapılandırmalar hakkında sizinle iletişime geçmesi gerekebilir. Ekibinizdeki ilgili kişilerin proje yapılandırmanızı düzenleme veya görüntüleme erişimine sahip olduğundan emin olmak için projenizin IAM girişlerini inceleyin. Bu hesaplar, projenizde yapılması gereken değişiklikler hakkında da e-postalar alabilir.

Roller, proje kaynaklarında belirli işlemleri gerçekleştirmenize olanak tanıyan bir dizi izin içerir. Proje düzenleyicileri, projenizin OAuth izin ekranında değişiklik yapma gibi durumda değişikliğe neden olan işlemler için izinlere sahiptir. Tüm düzenleyici izinlerine sahip proje sahipleri, projeyle ilişkili hesapları ekleyebilir veya kaldırabilir ya da projeyi silebilir. Proje sahipleri, faturalandırma bilgilerinin neden ayarlandığına dair bağlam bilgisi de sağlayabilir. Proje sahipleri, ücretli API'lerin kullanıldığı projeler için fatura bilgileri ayarlayabilir.

Proje sahipleri ve düzenleyicileri güncel tutulmalıdır. Projeye ve ilgili bakım işlemlerine erişmeye devam edebilmeniz için projenize birden fazla alakalı hesap ekleyebilirsiniz. Projenizle ilgili bildirimler veya hizmetlerimizle ilgili güncellemeler olduğunda bu hesaplara e-posta göndeririz. Google Cloud kuruluş yöneticileri, kuruluşlarındaki her projeyle ulaşılabilir bir kişinin ilişkilendirildiğinden emin olmalıdır. Projenizle ilgili güncel iletişim bilgilerine sahip değilsek işlem yapmanızı gerektiren önemli mesajları kaçırabilirsiniz.

Kimliğinizi doğru şekilde temsil edin

Geçerli bir uygulama adı ve isteğe bağlı olarak kullanıcılara gösterilecek bir logo girin. Bu marka bilgileri, başvurunuzun kimliğini doğru şekilde temsil etmelidir. Uygulama marka bilgileri, OAuth üzerinden yapılandırılır.

Üretim uygulamaları için OAuth izin ekranınızda tanımlanan marka bilgileri, kullanıcılara gösterilmeden önce doğrulanmalıdır. Marka doğrulaması tamamlanan uygulamaların, kullanıcıların uygulamanıza erişim izni verme olasılığını artırması mümkündür. Uygulamanın adı, ana sayfası, hizmet şartları ve gizlilik politikası gibi temel uygulama bilgileri, mevcut izinlerini inceleyen kullanıcılara izin ekranında veya kuruluşlarının uygulama kullanımını inceleyen Google Workspace yöneticilerine gösterilir.

Google, kimliğini yanlış beyan eden veya kullanıcıları kandırmaya çalışan uygulamalar için Google API Hizmetleri'ne ve diğer Google ürün ve hizmetlerine erişimi iptal edebilir ya da askıya alabilir.

Yalnızca ihtiyacınız olan kapsamları isteyin

Uygulamanızın geliştirilmesi sırasında, API'nin özellikleri ve işlevleri hakkında daha fazla bilgi edinmek için uygulamanızda bir kavram kanıtı oluşturmak amacıyla API tarafından sağlanan bir örnek kapsamı kullanmış olabilirsiniz. Bu örnek kapsamlar, belirli bir API için tüm olası işlemleri kapsamlı bir şekilde ele aldıklarından, uygulamanızın nihai uygulamaya geçirilmesi için gerekenden genellikle daha fazla bilgi ister. Örneğin, örnek kapsamda okuma, yazma ve silme izinleri istenebilirken uygulamanız yalnızca okuma izinlerini gerektirebilir. Uygulamanızın uygulanması için gerekli olan kritik bilgilerle sınırlı ilgili izinleri isteyin.

Uygulamanızın çağırdığı API uç noktalarının referans dokümanlarını inceleyin ve uygulamanızın ihtiyaç duyduğu ilgili verilere erişmek için ihtiyaç duydukları kapsamları not edin. API'nin sunduğu yetkilendirme kılavuzlarını inceleyin ve en yaygın kullanımı içerecek şekilde kapsamlarını daha ayrıntılı bir şekilde açıklayın. Uygulamanızın ilgili özellikleri desteklemek için ihtiyaç duyduğu en az veri erişimini seçin.

Bu gereksinim hakkında daha fazla bilgi için OAuth 2.0 Politikaları'nın Yalnızca ihtiyacınız olan kapsamları isteyin bölümünü ve Google API Hizmetleri Kullanıcı Verileri Politikası'nın İlgili izinleri isteyin bölümünü okuyun.

Hassas veya kısıtlanmış kapsamlar kullanan üretim uygulamalarını doğrulamaya gönderme

Belirli kapsamlar "hassas" veya "kısıtlı" olarak sınıflandırılmıştır ve üretim uygulamalarında incelenmeden kullanılamaz. Üretim uygulamanızın kullandığı tüm kapsamları OAuth izin ekranı yapılandırmasına girin. Üretim uygulamanız hassas veya kısıtlı kapsamlar kullanıyorsa bu kapsamları bir yetkilendirme isteğine dahil etmeden önce bu kapsamları doğrulama için göndermeniz gerekir.

Yalnızca sahibi olduğunuz alanları kullanın

Google'ın OAuth izin ekranı doğrulama süreci; projenizin ana sayfası, gizlilik politikası, hizmet şartları, yetkili yönlendirme URI'leri veya yetkilendirilmiş JavaScript kaynaklarıyla ilişkili tüm alanların doğrulanmasını gerektirir. OAuth izin ekranı düzenleyicisinin Yetkilendirilen alanlar bölümünde özetlenen, uygulamanızın kullandığı alanların listesini inceleyin ve sahibi olmadığınız ve bu nedenle doğrulayamayacağınız alanları belirleyin. Projenizin yetkilendirilmiş alanlarının sahipliğini doğrulamak için Google Search Console'u kullanın. Sahibi veya düzenleyici olarak projenizle ilişkili bir Google Hesabı kullanın.

Projenizde ortak, paylaşılan bir alan adı olan bir servis sağlayıcı kullanılıyorsa kendi alanınızın kullanılmasına olanak tanıyan yapılandırmaları etkinleştirmenizi öneririz. Bazı sağlayıcılar, hizmetlerini halihazırda sahip olduğunuz bir alanın alt alanıyla eşleme seçeneği sunar.

Üretim uygulamaları için bir ana sayfa barındırma

OAuth 2.0 kullanan her üretim uygulamasının herkese açık bir ana sayfası olmalıdır. Uygulamanızın potansiyel kullanıcıları, uygulamanın sunduğu özellikler ve işlevler hakkında daha fazla bilgi edinmek için ana sayfayı ziyaret edebilir. Mevcut kullanıcılar, mevcut bağış listelerini inceleyebilir ve teklifinizi kullanmaya devam ettiklerini hatırlatmak için uygulamanızın ana sayfasını ziyaret edebilir.

Uygulamanızın ana sayfasında, uygulamanın işlevinin yanı sıra gizlilik politikasının ve isteğe bağlı hizmet şartlarının bağlantıları bulunmalıdır. Ana sayfa, sahipliğiniz altındaki doğrulanmış bir alanda bulunmalıdır.

Güvenli yönlendirme URI'leri ve JavaScript kaynaklarını kullanma

Web uygulamaları için OAuth 2.0 istemcileri, verilerini düz HTTP yerine HTTPS yönlendirme URI'leri ve JavaScript kaynakları kullanarak güvence altına almalıdır. Google, güvenli bir bağlamdan kaynaklanmayan veya bu bağlama çözümlenmeyen OAuth isteklerini reddedebilir.

Hangi üçüncü taraf uygulamalarının ve komut dosyalarının sayfanıza dönen jetonlara ve diğer kullanıcı kimlik bilgilerine erişebileceğini düşünün. Jeton verilerini doğrulamak ve depolamakla sınırlı olan yönlendirme URI konumlarıyla hassas verilere erişimi sınırlayın.

Sonraki adımlar

Uygulamanızın bu sayfadaki OAuth 2.0 politikalarına uyduğundan emin olduktan sonra doğrulama süreciyle ilgili ayrıntılar için Marka doğrulaması için gönderme başlıklı makaleyi inceleyin.