Wenn Sie bereit sind, die implementierte Lösung außerhalb der Entwicklungsumgebung für die Nutzer Ihrer App bereitzustellen, müssen Sie möglicherweise zusätzliche Schritte ausführen, um die OAuth 2.0-Richtlinien von Google einzuhalten. In diesem Leitfaden wird beschrieben, wie Sie die häufigsten Entwicklerprobleme beheben, die bei der Vorbereitung Ihrer Anwendung für die Produktion auftreten. So erreichst du mit begrenzten Fehlern die größtmögliche Zielgruppe.
- Separate Projekte für Tests und Produktion verwenden
- Liste der relevanten Kontakte für das Projekt verwalten
- Deine Identität korrekt darstellen
- Nur die angeforderten Bereiche anfordern
- Produktions-Apps mit vertraulichen oder eingeschränkten Bereichen zur Überprüfung einreichen
- Nur Ihre eigenen Domains verwenden
- Startseite für Produktions-Apps hosten
- Sichere Weiterleitungs-URIs und JavaScript-Quellen verwenden
Separate Projekte für Tests und Produktion verwenden
Die OAuth-Richtlinien von Google erfordern separate Test- und Produktionsprojekte. Einige Richtlinien und Anforderungen gelten nur für Produktionsanwendungen. Möglicherweise müssen Sie ein separates Projekt erstellen und konfigurieren, das OAuth-Clients enthält, die der Produktionsversion Ihrer Anwendung entsprechen, die für alle Google-Konten verfügbar ist.
Die in der Produktion verwendeten Google OAuth-Clients ermöglichen eine stabilere, vorhersehbare und sichere Datenerhebungs- und Speicherumgebung als vergleichbare OAuth-Clients, die dieselbe Anwendung testen oder debuggen. Ihr Produktionsprojekt kann zur Überprüfung eingereicht werden und unterliegt daher zusätzlichen Anforderungen für bestimmte API-Bereiche, zu denen auch Sicherheitsprüfungen von Drittanbietern gehören können.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Prüfen Sie die OAuth-Clients in diesem Projekt, die möglicherweise mit Ihrer Teststufe verknüpft sind. Erstellen Sie gegebenenfalls ähnliche OAuth-Clients für die Produktionsclients in Ihrem Produktionsprojekt.
- Aktivieren Sie alle APIs, die von Ihren Clients verwendet werden.
- Überprüfen Sie die Konfiguration des OAuth-Zustimmungsbildschirms im neuen Projekt.
In der Produktion verwendete Google OAuth-Clients dürfen keine Testumgebungen, Weiterleitungs-URIs oder JavaScript-Quellen enthalten, die nur Ihnen oder Ihrem Entwicklungsteam zur Verfügung stehen. Hier einige Beispiele:
- Die Testserver der einzelnen Entwickler
- Versionen der App testen oder Vorabveröffentlichungen anbieten
Liste der für das Projekt relevanten Kontakte erstellen
Google und die von Ihnen aktivierten einzelnen APIs müssen Sie möglicherweise wegen Änderungen an den Diensten oder neuen Konfigurationen kontaktieren, die für Ihr Projekt und seine Clients erforderlich sind. Prüfen Sie die IAM-Einträge Ihres Projekts, um sicherzustellen, dass die entsprechenden Teammitglieder in Ihrem Projekt die Projektkonfiguration bearbeiten oder aufrufen können. Diese Konten erhalten möglicherweise auch E-Mails zu erforderlichen Änderungen an Ihrem Projekt.
Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Projektressourcen ausführen können. Projektbearbeiter sind berechtigt, Aktionen zu ändern, z. B. den OAuth-Zustimmungsbildschirm Ihres Projekts zu ändern. Projektinhaber mit allen Bearbeitungsberechtigungen können Konten hinzufügen oder entfernen oder das Projekt löschen. Projektinhaber können auch den Grund dafür angeben. Projektinhaber können Zahlungsinformationen für ein Projekt einrichten, für das kostenpflichtige APIs verwendet werden.
Projektinhaber und -bearbeiter müssen immer auf dem neuesten Stand sein. Sie können Ihrem Projekt mehrere relevante Konten hinzufügen, um für einen unterbrechungsfreien Zugriff auf das Projekt und die zugehörige Wartung zu sorgen. Wir senden E-Mails an diese Konten, wenn es Benachrichtigungen zu Ihrem Projekt oder Updates zu unseren Diensten gibt. Google Cloud-Organisationsadministratoren müssen dafür sorgen, dass jedem Projekt in ihrer Organisation ein erreichbarer Kontakt zugeordnet ist. Wenn wir keine aktuellen Kontaktdaten für Ihr Projekt haben, verpassen Sie möglicherweise wichtige Nachrichten, für die Sie Maßnahmen ergreifen müssen.
Ihre Identität korrekt darstellen
Geben Sie einen gültigen App-Namen und optional ein Logo an, das Nutzern angezeigt wird. Diese Markeninformationen müssen die Identität Ihrer Anwendung korrekt darstellen. Informationen zum App-Branding werden über OAuth Consent Screen pagekonfiguriert.
Für Produktions-Apps müssen die im OAuth-Zustimmungsbildschirm definierten Markeninformationen bestätigt werden, bevor sie den Nutzern angezeigt werden. Nutzer können mit größerer Wahrscheinlichkeit Zugriff auf Ihre Anwendung gewähren, nachdem die Markenüberprüfung abgeschlossen wurde. Grundlegende Anwendungsinformationen wie Name, Startseite, Nutzungsbedingungen und Datenschutzerklärung der App werden Nutzern auf dem Berechtigungsbildschirm angezeigt, wenn sie ihre bestehenden Berechtigungen prüfen, oder Google Workspace-Administratoren, die die App-Nutzung durch ihre Organisation prüfen.
Google kann den Zugriff auf Google API-Dienste und andere Google-Produkte und -Dienste für Apps widerrufen oder sperren, wenn diese ihre Identität falsch darstellen oder Nutzer täuschen.
Nur erforderliche Bereiche anfordern
Während der Entwicklung Ihrer Anwendung haben Sie möglicherweise einen Beispielumfang verwendet, der von der API bereitgestellt wird, um ein Proof of Concept innerhalb Ihrer Anwendung zu erstellen und mehr über die Features der API zu erfahren. Für diese Beispielbereiche sind häufig mehr Informationen erforderlich, als für die endgültige Implementierung Ihrer Anwendung erforderlich sind, weil damit alle möglichen Aktionen für eine bestimmte API abgedeckt werden. Im Beispielbereich können Lese-, Schreib- und Löschberechtigungen angefordert werden, während Ihre Anwendung nur Leseberechtigungen benötigt. Fordern Sie relevante Berechtigungen an, die auf die erforderlichen Informationen zur Implementierung Ihrer Anwendung beschränkt sind.
Sehen Sie sich die Referenzdokumentation für die von Ihrer App aufgerufenen API-Endpunkte an und notieren Sie sich die Bereiche, die sie benötigen, um auf die für Ihre Anwendung erforderlichen Daten zuzugreifen. Lesen Sie alle Autorisierungsanleitungen, die von der API angeboten werden, und beschreiben Sie deren Bereiche ausführlicher, um die am häufigsten verwendete Nutzung aufzunehmen. Wählen Sie den geringstmöglichen Datenzugriff aus, den Ihre Anwendung benötigt, um die zugehörigen Features bereitzustellen.
Weitere Informationen zu dieser Anforderung finden Sie in den OAuth 2.0-Richtlinien im Abschnitt Nur Anfragebereiche, die Sie benötigen. Lesen Sie auch den Abschnitt Relevante Berechtigungen anfordern in der Nutzerdatenrichtlinie der Google API-Dienste.
Produktionsanwendungen mit vertraulichen oder eingeschränkten Bereichen zur Überprüfung einreichen
Bestimmte Bereiche werden als „sensible“ oder „eingeschränkte“ klassifiziert und können in Produktionsanwendungen ohne Überprüfung nicht verwendet werden. Geben Sie alle von Ihrer Produktionsanwendung verwendeten Bereiche in der OAuth-Zustimmungsbildschirmkonfiguration ein. Wenn Ihre Produktionsanwendung vertrauliche oder eingeschränkte Bereiche verwendet, müssen Sie die Verwendung dieser Bereiche zur Überprüfung einreichen, bevor Sie die Bereiche in eine Autorisierungsanfrage aufnehmen.
Nur eigene Domains verwenden
Zur Validierung des OAuth-Zustimmungsbildschirms von Google müssen alle Domains bestätigt werden, die mit der Startseite, der Datenschutzerklärung, den Nutzungsbedingungen, den autorisierten Weiterleitungs-URIs oder den autorisierten JavaScript-Quellen des Projekts verknüpft sind. Prüfen Sie die Liste der von Ihrer Anwendung verwendeten Domains im Abschnitt Autorisierte Domains des OAuth-Zustimmungsbildschirms und ermitteln Sie alle Domains, die Ihnen nicht gehören und daher nicht bestätigt werden können. Die Inhaberschaft der autorisierten Domains Ihres Projekts können Sie über die Google Search Console bestätigen. Sie können ein Google-Konto, das mit Ihrem Projekt verknüpft ist, API Console als Inhaber oder Bearbeiter verwenden.
Wenn Ihr Projekt einen Dienstanbieter mit einer gemeinsamen, gemeinsam genutzten Domain verwendet, sollten Sie Konfigurationen aktivieren, die die Verwendung Ihrer eigenen Domain ermöglichen. Einige Anbieter bieten an, ihre Dienste einer Subdomain einer Domain zuzuordnen, die Ihnen bereits gehört.
Startseite für Produktions-Apps hosten
Jede Produktionsanwendung, die OAuth 2.0 verwendet, muss eine öffentlich zugängliche Startseite haben. Potenzielle Nutzer deiner App können dann auf der Startseite mehr über die Funktionen der App erfahren. Bestehende Nutzer können die Liste ihrer vorhandenen Berechtigungen prüfen und die Startseite deiner App aufrufen, um auf die weitere Nutzung deines Angebots aufmerksam zu machen.
Die Startseite Ihrer App muss eine Beschreibung der App-Funktionen sowie Links zu einer Datenschutzerklärung und optionalen Nutzungsbedingungen enthalten. Die Startseite muss sich auf einer bestätigten Domain befinden, die Ihnen gehört.
Sichere Weiterleitungs-URIs und JavaScript-Quellen verwenden
OAuth 2.0-Clients für Webanwendungen müssen ihre Daten mit HTTPS-Weiterleitungs-URIs und JavaScript-Quellen, nicht nur mit HTTP, sichern. Google kann OAuth-Anfragen ablehnen, die nicht aus einem sicheren Kontext stammen oder in einen sicheren Kontext aufgelöst werden.
Überlegen Sie, welche Drittanbieter-Anwendungen und -Skripts möglicherweise auf Tokens und andere Nutzeranmeldedaten zugreifen können, die zu Ihrer Seite zurückkehren. Beschränken Sie den Zugriff auf sensible Daten mit Weiterleitungs-URI-Standorten, die auf die Bestätigung und Speicherung von Tokendaten beschränkt sind.
Nächste Schritte
Nachdem du dich vergewissert hast, dass deine App den OAuth 2.0-Richtlinien auf dieser Seite entspricht, findest du unter Zur Markenüberprüfung einreichen weitere Informationen zum Überprüfungsprozess.