Cumple con las políticas de OAuth 2.0

Cuando tengas todo listo para implementar la solución implementada más allá del entorno de desarrollo a los usuarios de la app, es posible que debas realizar pasos adicionales a fin de cumplir con las Políticas de OAuth 2.0 de Google. En esta guía, describimos cómo cumplir con los problemas más comunes de los desarrolladores que se encuentran cuando preparas tu app para la producción. Esto te ayudará a llegar a la mayor cantidad de público posible con errores limitados.

Usa proyectos independientes para pruebas y producción

Las políticas de OAuth de Google requieren proyectos separados para las pruebas y la producción. Algunas políticas y requisitos solo se aplican a las apps de producción. Es posible que debas crear y configurar un proyecto independiente que incluya clientes de OAuth que correspondan a la versión de producción de tu app disponible para todas las Cuentas de Google.

Los clientes de OAuth de Google que se usan en producción ayudan a proporcionar un entorno de recopilación y almacenamiento de datos más estable, predecible y seguro que los clientes de OAuth similares que prueban o depuran la misma aplicación. Tu proyecto de producción puede enviarlo para verificarse y, por lo tanto, estar sujeto a requisitos adicionales para permisos de API específicos, que pueden incluir evaluaciones de seguridad de terceros.

  1. Go to the Google API Console. Click Create project, enter a name, and click Create.
  2. Revisa los clientes de OAuth de este proyecto que podrían estar asociados con tu nivel de prueba. Si corresponde, crea clientes de OAuth similares para los clientes de producción dentro del proyecto de producción.
  3. Habilita las APIs que usen tus clientes.
  4. Revisa la configuración de la pantalla de consentimiento de OAuth en el proyecto nuevo.

Los clientes de Google OAuth que se usen en producción no deben contener entornos de prueba, URI de redireccionamiento ni orígenes de JavaScript que estén disponibles solo para ti o tu equipo de desarrollo. Estos son algunos ejemplos:

  • Los servidores de prueba de los desarrolladores individuales
  • Versiones de prueba o previas al lanzamiento de tu app

Mantener una lista de contactos relevantes para el proyecto

Es posible que Google y las APIs individuales que habilites deban comunicarse contigo respecto de los cambios en sus servicios o los nuevos parámetros de configuración requeridos de tu proyecto y sus clientes. Revisa las fichas de IAM de tu proyecto para asegurarte de que las personas relevantes de tu equipo tengan acceso para editar o ver la configuración del proyecto. Estas cuentas también pueden recibir correos electrónicos sobre los cambios necesarios en tu proyecto.

Un role contiene un conjunto de permisos que te permiten realizar acciones específicas en los recursos del proyecto. Los editores del proyecto tienen permisos para realizar acciones que modifican el estado, como la capacidad de realizar cambios en la pantalla de consentimiento de OAuth de tu proyecto. Los propietarios del proyecto que tienen todos los permisos de edición pueden agregar o quitar cuentas asociadas con el proyecto, o bien borrarlo. Los propietarios del proyecto también pueden proporcionar contexto sobre por qué se deben establecer los datos de facturación. Los propietarios pueden configurar los datos de facturación de un proyecto que usa API pagadas.

Los propietarios y editores del proyecto deben mantenerse actualizados. Puedes agregar varias cuentas relevantes a tu proyecto para garantizar el acceso continuo al proyecto y el mantenimiento relacionado. Enviamos correos electrónicos a esas cuentas cuando hay notificaciones sobre tu proyecto o actualizaciones de nuestros servicios. Los administradores de la organización de Google Cloud deben asegurarse de que haya un contacto accesible asociado con cada proyecto de su organización. Si no tenemos la información de contacto actualizada sobre tu proyecto, es posible que te pierdas mensajes importantes que requieran tu acción.

Representa tu identidad con precisión

Proporciona un nombre de app válido y, de forma opcional, un logotipo para mostrar a los usuarios. Esta información de marca debe representar con precisión la identidad de tu aplicación. La información de desarrollo de la marca de la app se configura desde OAuth Consent Screen page.

En el caso de las apps de producción, se debe verificar la información de marca definida en la pantalla de consentimiento de OAuth antes de que los usuarios la vean. Es más probable que los usuarios otorguen acceso a tu app después de completar la verificación de marca. La información básica de la app, que incluye el nombre de la app, la página principal, las Condiciones del Servicio y la política de privacidad, se muestra a los usuarios en la pantalla de otorgamiento, cuando revisan sus subsidios existentes, o a los administradores de Google Workspace que revisan el uso de la app por parte de su organización.

Google puede revocar o suspender el acceso a los Servicios de las APIs de Google y a otros productos y servicios de Google para las apps que tergiversen su identidad o intenten engañar a los usuarios.

Solicita solo los permisos que necesites

Durante el desarrollo de tu aplicación, es posible que hayas usado un alcance de ejemplo proporcionado por la API para crear una prueba de concepto dentro de tu aplicación y obtener más información sobre las características y funciones de la API. Estos permisos de ejemplo a menudo solicitan más información que la implementación final de las necesidades de tu app, ya que proporcionan una cobertura integral de todas las acciones posibles para una API en particular. Por ejemplo, el alcance del ejemplo puede solicitar permisos de lectura, escritura y eliminación, mientras que tu aplicación solo requiere permisos de lectura. Solicita permisos relevantes que se limiten a la información crítica necesaria para implementar tu aplicación.

Revisa la documentación de referencia de los extremos de API a los que llama tu app y ten en cuenta los alcances que estos requieren para acceder a los datos relevantes que necesita tu app. Revisa las guías de autorización que ofrece la API y describe sus alcances con más detalle para incluir los usos más comunes. Elige el acceso a datos mínimo que necesite tu aplicación para potenciar las funciones relacionadas.

Para obtener más información sobre este requisito, lee la sección Solo los permisos de solicitudes que necesitas de las Políticas de OAuth 2.0, junto con la sección Solicita permisos relevantes de la Política de datos del usuario de los servicios de las APIs de Google.

Envía apps de producción que usen permisos sensibles o restringidos para su verificación

Algunos permisos se clasifican como "sensibles" o "restringidos" y no se pueden usar en apps de producción sin revisión. Ingresa todos los permisos que usa tu app de producción en la configuración de la pantalla de consentimiento de OAuth. Si tu app de producción usa permisos sensibles o restringidos, debes enviar tu uso de esos permisos para su verificación antes de incluirlos en una solicitud de autorización.

Usar solo los dominios de su propiedad

El proceso de verificación de la pantalla de consentimiento de OAuth de Google requiere que se verifiquen todos los dominios asociados con la página principal, la política de privacidad, las Condiciones del Servicio, los URI de redireccionamiento autorizados o los orígenes autorizados de JavaScript de tu proyecto. Revisa la lista de dominios que usa tu app, resumida en la sección Dominios autorizados del editor de la pantalla de consentimiento de OAuth, y, luego, identifica los dominios que no te pertenezcan y que, por lo tanto, no puedas verificar. Para verificar la propiedad de los dominios autorizados de tu proyecto, usa Google Search Console. Usa una Cuenta de Google asociada a tu proyecto de API Console como propietario o editor.

Si en tu proyecto se usa un proveedor de servicios con un dominio compartido común, te recomendamos que habilites las opciones de configuración que permitan el uso de tu propio dominio. Algunos proveedores ofrecen asignar sus servicios a un subdominio de un dominio que ya posees.

Aloja una página principal para las apps de producción

Todas las apps de producción que usen OAuth 2.0 deben tener una página principal de acceso público. Los usuarios potenciales de tu app pueden visitar la página principal para obtener más información sobre las características y funciones que esta ofrece. Los usuarios existentes pueden revisar su lista de subsidios existentes y visitar la página principal de la app para recordarte que siguen usando tu oferta.

La página principal de tu aplicación debe incluir una descripción de la funcionalidad de la app, así como vínculos a una política de privacidad y condiciones del servicio opcionales. La página principal debe existir en un dominio verificado de tu propiedad.

Usa URI de redireccionamiento seguros y orígenes de JavaScript

Los clientes OAuth 2.0 para apps web deben proteger sus datos con URI de redireccionamiento HTTPS y orígenes de JavaScript, no HTTP simple. Google puede rechazar las solicitudes de OAuth que no se originan en un contexto seguro o se resuelven en este.

Considera qué aplicaciones y secuencias de comandos de terceros pueden tener acceso a los tokens y otras credenciales de usuario que regresan a tu página. Limita el acceso a datos sensibles con ubicaciones de URI de redireccionamiento que se limitan a la verificación y el almacenamiento de datos de token.

Próximos pasos

Una vez que te asegures de que tu app cumpla con las políticas de OAuth 2.0 indicadas en esta página, consulta Enviar para verificación de marca para obtener detalles sobre el proceso de verificación.