Cuando estés listo para implementar la solución implementada más allá del entorno de desarrollo y a los usuarios de la app, es posible que debas realizar pasos adicionales a fin de cumplir con las Políticas de OAuth 2.0 de Google. En esta guía, describimos cómo cumplir con los problemas más comunes de los desarrolladores que se encuentran cuando preparas tu app para la producción. Esto te ayuda a llegar a la mayor cantidad de público posible sin errores.
- Usa proyectos separados para las pruebas y la producción
- Mantener una lista de contactos relevantes para el proyecto
- Representa con exactitud tu identidad
- Solicita solo los alcances que necesitas
- Envía apps de producción que usen permisos sensibles o restringidos para la verificación
- Usa solo dominios que te pertenecen
- Aloja una página principal para las apps de producción
- Usa URI de redireccionamiento seguros y orígenes de JavaScript
Usa proyectos separados para pruebas y producción
Las políticas de OAuth de Google requieren proyectos diferentes para las pruebas y la producción. Algunas políticas y requisitos solo se aplican a las apps de producción. Es posible que debas crear y configurar un proyecto separado que incluya clientes de OAuth que correspondan a la versión de producción de tu app disponible para todas las Cuentas de Google.
Los clientes de OAuth de Google que se usan en la producción ayudan a proporcionar un entorno de recopilación y almacenamiento de datos más estable, predecible y seguro que los clientes de OAuth similares que prueban o depuran la misma aplicación. Tu proyecto de producción puede enviarlo para verificación y, por lo tanto, estar sujeto a requisitos adicionales para permisos de API específicos, que pueden incluir evaluaciones de seguridad de terceros.
- Go to the Google API Console. Click Create project, enter a name, and click Create.
- Revisa los clientes de OAuth de este proyecto que podrían estar asociados con tu nivel de prueba. Si corresponde, crea clientes de OAuth similares para los clientes de producción dentro de tu proyecto de producción.
- Habilita las API que usen tus clientes.
- Revisa la configuración de la pantalla de consentimiento de OAuth en el proyecto nuevo.
Los clientes de Google OAuth que se usen en producción no deben contener entornos de prueba, URI de redireccionamiento ni orígenes de JavaScript disponibles solo para ti o tu equipo de desarrollo. Estos son algunos ejemplos:
- Los servidores de prueba de desarrolladores individuales
- Versiones de prueba o previas al lanzamiento de tu app
Mantener una lista de contactos relevantes para el proyecto
Es posible que Google y las APIs individuales que habilites deban comunicarse contigo en relación con los cambios en sus servicios o las nuevas configuraciones requeridas para tu proyecto y sus clientes. Revisa las fichas de IAM de tu proyecto a fin de asegurarte de que las personas relevantes de tu equipo tengan acceso para editar o ver la configuración del proyecto. Estas cuentas también pueden recibir correos electrónicos sobre los cambios necesarios en tu proyecto.
Una función contiene un conjunto de permisos que te permiten realizar acciones específicas en los recursos del proyecto. Los editores del proyecto tienen permisos para realizar acciones que modifican el estado, como la capacidad de realizar cambios en la pantalla de consentimiento de OAuth de tu proyecto. Los propietarios del proyecto que tienen todos los permisos de editor pueden agregar o quitar cuentas asociadas con el proyecto, o borrarlo. Los propietarios del proyecto también pueden proporcionar contexto sobre por qué se podrían establecer los datos de facturación. Los propietarios pueden configurar los datos de facturación de un proyecto que use API pagadas.
Los propietarios y editores del proyecto deben mantenerse actualizados. Puedes agregar varias cuentas relevantes a tu proyecto para garantizar el acceso continuo al proyecto y el mantenimiento relacionado. Enviamos correos electrónicos a esas cuentas cuando hay notificaciones sobre tu proyecto o actualizaciones en nuestros servicios. Los administradores de la organización de Google Cloud deben asegurarse de que un contacto accesible esté asociado con cada proyecto de su organización. Si no tenemos información de contacto actualizada sobre tu proyecto, es posible que te pierdas mensajes importantes que requieran tu intervención.
Representa tu identidad con precisión
Proporciona un nombre de app válido y, de forma opcional, un logotipo para mostrar a los usuarios. Esta información de marca debe representar con precisión la identidad de tu aplicación. La información de desarrollo de la marca de la app se configura desde OAuth Consent Screen page.
En el caso de las apps de producción, se debe verificar la información de marca definida en la pantalla de consentimiento de OAuth antes de mostrarla a los usuarios. Es más probable que los usuarios otorguen acceso a tu app después de completar la verificación de marca. La información básica de la aplicación (como el nombre, la página principal, las Condiciones del Servicio y la Política de Privacidad de la app) se muestra a los usuarios en la pantalla de otorgamiento, cuando revisan sus otorgamientos existentes, o a los administradores de Google Workspace que revisan el uso de la app por parte de su organización.
Google puede revocar o suspender el acceso a los servicios de la API de Google y otros productos y servicios de Google para las aplicaciones que tergiversan su identidad o intentan engañar a los usuarios.
Solicita únicamente los permisos que necesites
Durante el desarrollo de tu aplicación, es posible que hayas usado un alcance de ejemplo proporcionado por la API para crear una prueba de concepto dentro de tu aplicación con el fin de obtener más información sobre las características y funciones de la API. Estos permisos de ejemplo suelen solicitar más información que la implementación final de las necesidades de tu app, ya que proporcionan una cobertura integral de todas las acciones posibles para una API en particular. Por ejemplo, el alcance del ejemplo puede solicitar permisos de lectura, escritura y eliminación, mientras que tu aplicación solo requiere permisos de lectura. Solicita permisos relevantes que se limiten a la información esencial necesaria para implementar tu aplicación.
Revisa la documentación de referencia de los extremos de la API a los que llama tu app y observa los alcances que requieren para acceder a los datos relevantes que necesita tu app. Revisa las guías de autorización que ofrece la API y describe sus alcances con más detalle para incluir el uso más común. Elige el acceso a datos mínimo que necesite tu aplicación para potenciar las funciones relacionadas.
Para obtener más información sobre este requisito, lee la sección Solo los permisos que necesitas de las Políticas de OAuth 2.0 y la sección Cómo solicitar permisos relevantes de la Política de datos del usuario de los servicios de las API de Google.
Envía apps de producción que usen permisos sensibles o restringidos para la verificación
Algunos permisos se clasifican como "sensibles" o "restringidos" y no se pueden usar en apps de producción sin revisión. Ingresa todos los permisos que usa tu app de producción en la configuración de la pantalla de consentimiento de OAuth. Si tu app de producción usa permisos sensibles o restringidos, debes enviar el uso de esos permisos para su verificación antes de incluirlos en una solicitud de autorización.
Usa solo dominios que sean de tu propiedad
El proceso de verificación de la pantalla de consentimiento de OAuth de Google requiere la verificación de todos los dominios asociados con la página principal, la política de privacidad, las Condiciones del Servicio, los URI de redireccionamiento autorizados o los orígenes autorizados de JavaScript de tu proyecto. Revisa la lista de dominios que usa tu app, que se resume en la sección Dominios autorizados del editor de la pantalla de consentimiento de OAuth, y, luego, identifica los dominios que no te pertenezcan y que, por lo tanto, no puedas verificar. Para verificar la propiedad de los dominios autorizados de tu proyecto, usa Google Search Console. Usa una Cuenta de Google asociada a tu proyecto de API Console como propietario o editor.
Si en tu proyecto se usa un proveedor de servicios con un dominio común compartido, te recomendamos que habilites los parámetros de configuración que permitan el uso de tu propio dominio. Algunos proveedores ofrecen asignar sus servicios a un subdominio de un dominio que ya posees.
Aloja una página principal para las apps de producción
Todas las apps de producción que usen OAuth 2.0 deben tener una página principal de acceso público. Los usuarios potenciales de tu app pueden visitar la página principal para obtener más información sobre las características y funciones que ofrece. Los usuarios existentes pueden revisar la lista de subsidios existentes y visitar la página principal de la app para recordar que siguen usando la oferta.
La página principal de tu aplicación debe incluir una descripción de su funcionalidad, además de vínculos a una política de privacidad y condiciones del servicio opcionales. La página principal debe existir en un dominio verificado bajo tu propiedad.
Usa URI de redireccionamiento seguros y orígenes de JavaScript
Los clientes de OAuth 2.0 para apps web deben proteger sus datos con URI de redireccionamiento HTTPS y orígenes de JavaScript, no con HTTP simple. Google puede rechazar solicitudes de OAuth que no se originen en un contexto seguro ni se resuelvan en un contexto seguro.
Ten en cuenta qué aplicaciones y secuencias de comandos de terceros pueden tener acceso a los tokens y otras credenciales de usuario que regresan a tu página. Limita el acceso a datos sensibles con ubicaciones de URI de redireccionamiento que se limitan a verificar y almacenar datos de tokens.
Próximos pasos
Una vez que te asegures de que tu app cumpla con las políticas de OAuth 2.0 que se indican en esta página, consulta Enviar para verificación de marca a fin de obtener detalles sobre el proceso de verificación.