Cómo comenzar

En este documento, se detallan los conocimientos básicos que necesitas para utilizar la API de Google Site Verification.

Introducción

La API de Google Site Verification está destinada a los desarrolladores que desean crear aplicaciones o servicios que automatizar el proceso de verificación de la propiedad de un sitio o dominio. Esto es importante, ya que algunos Solo los propietarios de sitios web o dominios pueden usar los servicios de Google. Puedes usar la API de Google Site Verification para validar que el usuario autenticado sea un propietario del dominio o sitio, posiblemente como el primer para aprovisionar de forma programática otros servicios de Google.

Se presupone que estás familiarizado con los conceptos de programación web, los formatos de datos web y que permite modificar de forma programática los archivos o registros DNS de su sitio web o dominio.

Descripción general

Puedes usar la API de Google Site Verification para modificar los datos de verificación del sitio de Google de un usuario. Los usuarios solo pueden acceder a ciertos servicios de Google si sus datos de verificación muestran que son los propietarios de la dominio de sitio web determinado. Puedes usar la API para generar tokens de verificación a los usuarios, que el código puede colocar de varias maneras en tus sitios web o en los registros de dominio de sus nombre. Una vez que el token esté implementado, debes llamar a la API para pedirle a Google que compruebe el token. Si Google encuentra el token, registra al usuario autenticado como propietario del sitio web. o dominio. También puedes usar la API para modificar la lista de propiedad en nombre del usuario, o para quitar por completo la propiedad del sitio.

Todas las llamadas a la API deben contar con la autorización de un usuario autenticado, y todas las llamadas a la API se ejecutan. en el contexto de la cuenta del usuario autenticado.

Un ejemplo concreto de cuándo podrías usar esta API, supongamos que proporcionas un servicio de hosting web. Tus usuarios desean poder usar Search Console de Google para obtener información sobre su sitio. Para que puedan hacerlo, Google necesita saber de la empresa. Por lo tanto, proporciona a sus usuarios una interfaz que les pide que verifiquen su la propiedad del sitio. Le dan a tu aplicación acceso a sus datos de verificación ahora ejecutan un código que solicita un token en su nombre y lo coloca en un archivo en su sitio y le pide a Google que lo revise. Cuando Google encuentra el token, otorga la propiedad de del sitio al usuario mediante la actualización de sus datos de verificación. Ahora puede usar Search Console para obtener encontrar la información que desea.

Antes de comenzar

Crea una Cuenta de Google

Debes asegurarte de tener configurada una Cuenta de Google. Te recomendamos que uses una Cuenta de Google independiente para el desarrollo y las pruebas a fin de protegerte de la pérdida accidental de datos.

Familiarízate con la verificación del sitio

Si no conoces los conceptos de la API de Google Site Verification, deberías leer este documento, experimentar con la interfaz de usuario de verificación y leer la documentación de ayuda asociada antes de comenzar a programar.

Más información para autorizar solicitudes

Todas las solicitudes que envíe la aplicación a la API de Google Site Verification deben incluir un token de autorización. El token también identifica tu aplicación ante Google.

Acerca de los protocolos de autorización

Tu aplicación debe usar OAuth 2.0 para autorizar solicitudes. No se admiten otros protocolos de autorización. Si tu aplicación usa Acceder con Google, tú controlarás algunos aspectos de la autorización.

Solicitudes de autorización con OAuth 2.0

Todas las solicitudes a la API de Google Site Verification deben estar autorizadas por un usuario autenticado.

Los detalles del proceso de autorización, o "flujo", para OAuth 2.0 varían de alguna manera según el tipo de aplicación que estás escribiendo. El siguiente proceso general se aplica a todos los tipos de aplicación:

  1. Cuando crees tu aplicación, deberás registrarla con Google API Console. Luego, Google proporcionará la información que necesites más tarde, como el ID y un secreto del cliente.
  2. Activa la API de Google Site Verification en la Consola de APIs de Google. Si no aparece en la consola de API, omite este paso.
  3. Cuando la aplicación necesite acceder a datos del usuario, solicita a Google un alcance de acceso en particular.
  4. Google mostrará una pantalla de consentimiento al usuario, en la que le pedirá que permita a la aplicación solicitar algunos de sus datos.
  5. Si el usuario la aprueba, Google le otorgará a la aplicación un token de acceso de corta duración.
  6. La aplicación solicitará los datos del usuario y adjuntará el token de acceso a la solicitud.
  7. Si Google determina que la solicitud y el token son válidos, mostrará los datos solicitados.

Algunos flujos requieren pasos adicionales, como el uso de tokens de actualización, para adquirir nuevos tokens de acceso. Si deseas obtener información detallada sobre los flujos para varios tipos de aplicaciones, consulta la documentación de OAuth 2.0 de Google.

A continuación, te mostramos información del alcance de OAuth 2.0 para la API de Google Site Verification:

Alcance Significado
https://www.googleapis.com/auth/siteverification Tiene acceso de lectura completo para los sitios verificados existentes y capacidad para verificar sitios nuevos.
https://www.googleapis.com/auth/siteverification.verify_only Capacidad de verificar sitios nuevos; sin acceso de lectura para los sitios verificados existentes.

Para solicitar acceso con OAuth 2.0, tu aplicación necesita los datos del alcance, además de la información que Google proporciona cuando registras la aplicación (como el ID y el secreto del cliente).

Sugerencia: Las bibliotecas cliente de las API de Google pueden controlar algunos de los procesos de autorización por ti. Están disponibles para una variedad de lenguajes de programación. Si quieres obtener más detalles, consulta la página que incluye bibliotecas y ejemplos.

Fondo de la API de verificación de Google Sites

Conceptos

Puedes utilizar la API de Google Site Verification para establecer la propiedad de un usuario de los siguientes tipos de recursos web:

  • Dominio: Es un dominio o subdominio. El propietario de un dominio se considera como propietario de todos los sitios y subdominios de ese dominio. Por ejemplo, el propietario directo de bar.com también se considera el propietario indirecto de foo.bar.com.
  • Sitio: Es una URL que corresponde al dominio base y la ruta de un sitio web. El propietario de un sitio se considera como el propietario de todos sus sitios secundarios. Por ejemplo, el propietario de "http://www.example.com/sitio" también se considera el propietario de "http://www.example.com/sitio/subsitio".

Dado que la propiedad del dominio se aplica de manera más amplia que la propiedad del sitio, te recomendamos que realices la verificación con los dominios siempre que sea posible.

El proceso para establecer la propiedad comienza cuando la solicitud solicita un "token de verificación" en nombre del usuario. El token de verificación es una cadena especial que tu código debe colocar en su sitio web o dominio. Una vez instalado el token, la aplicación puede realizar una solicitud a la API de Google Site Verification para comprobar el token y registrar la propiedad cuando la encuentre.

Limitaciones

Por razones técnicas y de seguridad, la API de Google Site Verification aplica algunas restricciones en la forma en que se usa:

  • Acceso a los datos solo para usuarios autenticados: Todas las operaciones requieren autenticación y autorización del usuario.
  • Verificación solo para el usuario autenticado: La API solo puede verificar la propiedad de los sitios o dominios de la cuenta autenticada actualmente. Sin embargo, el usuario autenticado puede delegar la propiedad a otros usuarios después de que se haya verificado la propiedad de un sitio. Ten en cuenta que todos los propietarios reciben una notificación por correo electrónico cada vez que se realizan cambios en la lista de propietarios.
  • Solo URL y nombres de dominio normalizados. La API de verificación del sitio de Google no admite la codificación de IDN (nombre de dominio internacional). Asegúrate de normalizar todas las URLs, los nombres de dominio y los dominios de direcciones de correo electrónico según el grupo de caracteres de nombre de dominio estándar (RFC 1034, §3.5) usando Punycoding, si es necesario.

Métodos y tokens de verificación

La API proporciona llamadas para las distintas fases de verificación:

  • Ubicación del token de verificación: Hay una llamada a la API para recuperar un token de verificación que se usará en el sitio del usuario autenticado. Si un usuario tiene más de un sitio, debes obtener un token diferente para cada sitio.
  • Comprobación de la presencia del token de verificación: Hay otra llamada a la API para solicitar que Google verifique el token a fin de verificar que el usuario autenticado sea propietario de un sitio.

Existen varios métodos para verificar un sitio web o dominio que tu aplicación puede usar. la opción que elijas dependerá de lo que mejor se adapte a tus requisitos. El lugar donde colocar el token, así como el tipo de token en sí, dependen del método de verificación que elijas.

Método de verificación del dominio

Hay dos métodos de verificación disponibles para los dominios:

DNS_CNAME

Tu aplicación crea un nuevo registro CNAME para el dominio del propietario, posiblemente a través de su registrador de dominios, con el token para los datos del registro. El token está compuesto por dos partes separadas por un espacio: la primera parte es el nombre del nuevo registro CNAME y la segunda es el valor del nuevo registro CNAME.

DNS_TXT

Tu aplicación crea un nuevo registro TXT para el dominio del propietario, posiblemente a través de su registrador de dominios, con el token para los datos del registro.

Para obtener más información, consulta la documentación del Centro de ayuda sobre el método de verificación de DNS.

Métodos de verificación de sitios

Hay tres métodos de verificación disponibles para los sitios:

Archivo
Tu aplicación coloca el token, en forma de archivo, en el sitio web del propietario. Debes crear un archivo cuyo nombre coincida con la cadena del token que incluya el siguiente contenido:
google-site-verification: token

Por ejemplo, si un usuario es propietario del sitio http://www.example.com/ y el token que se muestra es google12cfc68677988bb4.html, solo debes crear un archivo en http://www.example.com/google12cfc68677988bb4.html (en el nivel superior de su sitio) con el siguiente contenido:

google-site-verification: google12cfc8677988bb4.html

Consulta la documentación del Centro de ayuda sobre el Método de verificación de archivos para obtener más información.

Meta

Tu aplicación inserta el token, en forma de etiqueta HTML <meta>, dentro del elemento <head> del archivo predeterminado (index.html, default.html, etc.) en el nivel superior del sitio del propietario. Un archivo HTML con un token de verificación de Meta podría tener el siguiente aspecto:

<html>
  <head>
    <title>Awesome Dive Sites</title>
    <meta name="google-site-verification" content="-dhsoFQadgDKJR7BsB6bc1j5yfqjUpg_b-1pFjr7o3x" />
  </head>
  <body>
    ...

Para obtener más información, consulta la documentación del Centro de ayuda sobre el método de verificación de Meta.

Analytics

Tu aplicación utiliza un código de seguimiento existente de Google Analytics que ya se encuentra en el sitio web del propietario. El código de seguimiento debe pertenecer a su cuenta de Analytics, y el fragmento debe estar ubicado en la etiqueta HEAD para que funcione. Consulta la documentación del Centro de ayuda sobre el método de verificación de Analytics para obtener más información.

Tag Manager

Tu aplicación usa un código de contenedor de Google Tag Manager existente que ya se encuentra en el sitio web del propietario. El código del contenedor debe pertenecer a su cuenta de Tag Manager. Para obtener más información, consulta la documentación del Centro de ayuda sobre el método de verificación de Tag Manager.

Puede ayudarte a comprender los conceptos básicos y el flujo de trabajo si primero intentas verificar algunos sitios de forma manual con la interfaz de usuario de la verificación de sitios.

Modelo de datos

Recurso web

La API de verificación de sitios de Google aplica semántica de REST (HTTP GET, POST, etc.) a entidades llamadas recursos web. Un recurso web es un sitio web o dominio que pertenece al usuario autenticado.

Este es un ejemplo de un recurso web:

{
  "owners": [
    "myself@example.com",
    "another@example.com"
  ],
  "id": "http%3A%2F%2Fwww.example.com%2F",
  "site": {
    "identifier": "http://www.example.com/",
    "type": "SITE"
  }
}

El campo id es un identificador único para este recurso web. Se usa para hacer referencia a este recurso web en particular para recuperarlo y modificarlo. Almacena el campo id del resultado de la operación list para usarlo más adelante como identificador.

El objeto site contiene la URL o el nombre de dominio del recurso web y el tipo de recurso. Los sitios se especifican con el tipo SITE. dominios se especifican con el tipo INET_DOMAIN.

El array owners es la lista completa de propietarios del recurso web, representados por sus direcciones de correo electrónico. Al agregar o eliminar direcciones de correo electrónico de la lista de propietarios, el usuario autenticado puede conceder la copropiedad o revocar la propiedad de otros usuarios. Los propietarios adicionales que colocaron tokens propios en el sitio o dominio también aparecerán en la lista de propietarios, junto con cualquiera de sus copropietarios.

Los usuarios a los que se les otorgó la copropiedad también pueden hacerlo, siempre que haya al menos un propietario verificado con un token en el sitio.

Colección de recursos web

La colección de recursos web es una lista completa de todos los recursos web que pertenecen al usuario autenticado. Puedes verificar la propiedad de sitios o dominios simplemente intentando agregar nuevos recursos web a la colección de recursos web del usuario autenticado. Solo los sitios o dominios verificados se agregaron correctamente a su colección.

Como se indicó anteriormente en la sección Limitaciones, no se puede acceder a los recursos web que pertenecen a usuarios que no sean el usuario autenticado a través de la API de Site Verification.