Tất cả các ứng dụng truy cập vào API của Google đều phải xác minh rằng chúng thể hiện chính xác danh tính và ý định theo chỉ định của Người dùng dịch vụ API của Google Chính sách dữ liệu. Để bảo vệ bạn và người dùng dùng chung Google và ứng dụng của bạn, màn hình yêu cầu đồng ý và ứng dụng của bạn có thể cần được Google xác minh.
Ứng dụng của bạn yêu cầu xác minh nếu đáp ứng tất cả các tiêu chí sau:
- Trong Google API Console, cấu hình của ứng dụng được đặt cho một người dùng loại Bên ngoài. Điều này có nghĩa là ứng dụng của bạn được cung cấp cho bất kỳ người dùng nào có Tài khoản.
- Bạn muốn ứng dụng của mình hiển thị biểu trưng hoặc tên hiển thị trên Màn hình xin phép bằng ứng dụng OAuth.
Nếu cung cấp thông tin thương hiệu đã xác minh, bạn có thể tăng khả năng người dùng nhận ra thương hiệu của bạn và quyết định cấp quyền truy cập cho ứng dụng của bạn. Thông tin thương hiệu đã được xác minh cũng có thể dẫn đến số lần bị thu hồi sau này khi người dùng hoặc quản trị viên Google Workspace xem xét các ứng dụng và dịch vụ bên thứ ba có quyền truy cập vào tài khoản đó. Quy trình xác minh thương hiệu trên màn hình xin phép bằng OAuth thường mất 2-3 công việc ngày sau khi bạn gửi biểu mẫu đi xác minh.
Nếu bạn không gửi được đơn đăng ký xác minh thương hiệu thì số người dùng của bạn có thể sẽ giảm đi tin tưởng yêu cầu của bạn đối với dữ liệu của họ, điều này có thể làm giảm số lượng ủy quyền của người dùng và nhiều vấn đề khác bị thu hồi sau đó.
Màn hình xin phép bằng Oauth
Màn hình đồng ý cho người dùng biết ai đang yêu cầu quyền truy cập vào dữ liệu của họ và loại dữ liệu nào ứng dụng cần truy cập thay mặt cho họ, như được đánh dấu trong Hộp 2 của hình 1.
Khi ứng dụng của bạn trải qua quy trình xác minh thương hiệu và được phê duyệt, tài khoản cấp quyền có nhiều khả năng hiểu rõ danh tính và chính sách dữ liệu người dùng của ứng dụng hơn. Sự hiểu biết rõ ràng này có thể làm tăng khả năng chủ tài khoản cho phép yêu cầu của bạn và duy trì quyền truy cập khi họ xem xét các trường hợp thu hồi có thể xảy ra trên trang Tài khoản Google của họ. Nội dung bạn định cấu hình trên OAuth Consent Screen page trong API Console điền sẵn các thành phần sau:
- Tên và biểu trưng của ứng dụng (như trong Hộp 1 của hình 1)
- Email hỗ trợ người dùng, xuất hiện sau khi tên ứng dụng của bạn được chọn (Hộp 2 trong hình 1)
- Đường liên kết đến chính sách quyền riêng tư và điều khoản dịch vụ của bạn (Hộp 3 của hình 1)
Miền được uỷ quyền
Trong quy trình xác minh thương hiệu, Google yêu cầu xác minh tất cả các miền được liên kết với thông tin xác thực và màn hình xin phép bằng OAuth của ứng dụng. Chúng tôi sẽ yêu cầu bạn xác minh thành phần miền có thể đăng ký ở một hậu tố công khai: phần tử "trên cùng miền riêng tư". Ví dụ: màn hình xin phép bằng OAuth được định cấu hình bằng một ứng dụng trang chủ của https://sub.example.com/product yêu cầu chủ tài khoản xác minh quyền sở hữu miền example.com.
Phần Miền được uỷ quyền của trình chỉnh sửa màn hình xin phép OAuth cần chứa phần đầu miền riêng tư được dùng trong URI của phần Miền ứng dụng. Các miền này bao gồm trang chủ, chính sách quyền riêng tư và điều khoản dịch vụ của ứng dụng. Mục Miền được uỷ quyền cũng cần bao gồm các URI chuyển hướng và/hoặc nguồn gốc JavaScript được uỷ quyền trong các loại ứng dụng OAuth "Ứng dụng web".
Xác minh quyền sở hữu của các miền được uỷ quyền bằng Google Search Console. Một Tài khoản có các quyền của chủ sở hữu đối với một miền phải được liên kết với API Console dự án sử dụng miền được uỷ quyền đó. Để biết thêm thông tin về việc xác minh miền trong Google Tìm kiếm trên Play Console, hãy xem phần Xác minh trang web của bạn quyền sở hữu.
Các bước chuẩn bị để xác minh
Tất cả ứng dụng dùng API của Google để yêu cầu quyền truy cập vào dữ liệu đều phải thực hiện các bước sau để hoàn tất quy trình xác minh thương hiệu:
- Xác nhận rằng ứng dụng của bạn không thuộc bất kỳ trường hợp sử dụng nào trong phần Ngoại lệ đối với yêu cầu xác minh.
- Đảm bảo rằng ứng dụng của bạn tuân thủ các yêu cầu về thương hiệu của API hoặc sản phẩm liên kết. Ví dụ: xem nguyên tắc ghi nhãn cho phạm vi Đăng nhập bằng Google.
- Xác minh quyền sở hữu đối với dự án miền được uỷ quyền trong Google Search Console. Sử dụng Tài khoản được liên kết với API Console dự án của bạn dưới dạng Chủ sở hữu hoặc Người chỉnh sửa.
- Đảm bảo tất cả thông tin xây dựng thương hiệu trên màn hình xin phép bằng OAuth, chẳng hạn như tên ứng dụng, khả năng hỗ trợ email, URI trang chủ, URI chính sách quyền riêng tư, v.v. thể hiện chính xác thông tin nhận dạng của ứng dụng.
Yêu cầu đối với trang chủ của ứng dụng
Đảm bảo rằng trang chủ của bạn đáp ứng các yêu cầu sau:
- Trang chủ của bạn phải truy cập được công khai, chứ không chỉ những người dùng đã đăng nhập vào trang web của bạn người dùng.
- Bạn phải nêu rõ mức độ liên quan của trang chủ với ứng dụng đang được xem xét.
- Đường liên kết đến trang thông tin của ứng dụng trên Cửa hàng Google Play hoặc trang Facebook của ứng dụng không được coi là trang chủ ứng dụng hợp lệ.
Yêu cầu đối với đường liên kết đến chính sách quyền riêng tư của ứng dụng
Đảm bảo rằng chính sách quyền riêng tư của ứng dụng đáp ứng các yêu cầu sau:
- Chính sách quyền riêng tư phải hiển thị cho người dùng, được lưu trữ trong cùng một miền với trang chủ của ứng dụng và được liên kết đến trên màn hình xin phép bằng OAuth của Google API Console. Xin lưu ý rằng trang chủ phải bao gồm phần mô tả chức năng của ứng dụng, cũng như đường liên kết đến chính sách quyền riêng tư và điều khoản dịch vụ không bắt buộc.
- Chính sách quyền riêng tư phải công bố cách ứng dụng của bạn truy cập, sử dụng, lưu trữ hoặc chia sẻ dữ liệu người dùng của Google. Bạn phải giới hạn việc sử dụng dữ liệu người dùng của Google theo các phương pháp mà chính sách quyền riêng tư mà bạn đã công bố công bố.
Cách gửi ứng dụng để xác minh
Một Google API Console dự án sắp xếp tất cả API Console . Một dự án bao gồm tập hợp Tài khoản Google có quyền thực hiện các hoạt động của dự án, một bộ API đã bật và cài đặt thanh toán, xác thực và giám sát cho những API đó. Ví dụ: một dự án có thể chứa một hoặc nhiều ứng dụng OAuth, định cấu hình API để các ứng dụng đó sử dụng và định cấu hình một Màn hình xin phép OAuth hiển thị với người dùng trước khi họ cho phép truy cập vào ứng dụng của bạn.
Nếu có bất kỳ ứng dụng OAuth nào chưa sẵn sàng phát hành công khai, bạn nên xoá các ứng dụng đó khỏi dự án đang yêu cầu xác minh. Bạn có thể thực hiện việc này trong Google API Console.
Để gửi đi xác minh, hãy làm theo các bước sau:
- Đảm bảo ứng dụng của bạn tuân thủ Điều khoản dịch vụ API của Google và Chính sách dữ liệu người dùng của các dịch vụ API của Google.
- Luôn cập nhật vai trò chủ sở hữu và người chỉnh sửa của tài khoản được liên kết trong dự án, cũng như Email hỗ trợ người dùng và thông tin liên hệ của nhà phát triển trên màn hình xin phép bằng OAuth, trong API Console. Điều này giúp đảm bảo rằng những thành viên phù hợp trong sẽ được thông báo về mọi yêu cầu mới.
- Chuyển đến API Console OAuth Consent Screen page.
- Nhấp vào nút Project selector (Bộ chọn dự án).
-
Trên hộp thoại Chọn trong xuất hiện, hãy chọn dự án của bạn. Nếu bạn không thể tìm thấy dự án nhưng bạn biết ID dự án của mình, bạn có thể tạo URL trong trình duyệt theo cách sau định dạng:
https://console.developers.google.com/apis/credentials/consent?project=[PROJECT_ID]
Thay thế [PROJECT_ID] bằng mã dự án mà bạn muốn sử dụng.
- Chọn nút Edit App (Chỉnh sửa ứng dụng).
- Nhập thông tin cần thiết trên trang màn hình xin phép bằng OAuth rồi chọn Lưu và tiếp tục.
- Dùng nút Thêm hoặc xoá phạm vi để khai báo tất cả phạm vi mà ứng dụng của bạn yêu cầu. Một nhóm phạm vi ban đầu cần thiết cho tính năng Đăng nhập bằng Google được điền sẵn trong Mục Phạm vi không nhạy cảm. Các phạm vi đã thêm được phân loại là không nhạy cảm, sensitive, or restricted.
- Cung cấp tối đa 3 đường liên kết đến tài liệu có liên quan về các tính năng liên quan trong ứng dụng của bạn.
-
Cung cấp mọi thông tin bổ sung được yêu cầu về ứng dụng của bạn trong bước.
- Nếu cấu hình ứng dụng mà bạn cung cấp yêu cầu xác minh, thì bạn có thể gửi ứng dụng để xác minh. Điền vào các trường bắt buộc rồi nhấp vào Gửi để bắt đầu xác minh.
Sau khi bạn gửi ứng dụng, Nhóm phụ trách vấn đề Tin cậy và Nhóm an toàn liên hệ qua email với bất kỳ thông tin bổ sung mà họ cần hoặc các bước bạn phải hoàn tất. Hãy kiểm tra địa chỉ email của bạn trong mục Thông tin liên hệ của nhà phát triển và email hỗ trợ của màn hình đồng ý OAuth để biết các yêu cầu cung cấp thêm thông tin. Bạn cũng có thể xem trạng thái đồng ý sử dụng OAuth cho dự án của mình trang màn hình để xác nhận trạng thái xem xét hiện tại của dự án, bao gồm cả việc liệu quy trình xem xét bị tạm dừng trong khi chờ phản hồi của bạn.
Các trường hợp ngoại lệ đối với yêu cầu xác minh
Nếu người dùng định sử dụng ứng dụng trong bất kỳ trường hợp nào được mô tả ở các phần sau, bạn không cần gửi nó đi xem xét.
Sử dụng cá nhân
Một trường hợp sử dụng là nếu bạn là người dùng duy nhất của ứng dụng hoặc nếu ứng dụng chỉ được một vài người dùng sử dụng, tất cả những người này đều được biết đến cá nhân bạn. Bạn và số lượng người dùng hạn chế của bạn có thể thấy thoải mái với việc tiến bộ thông qua ứng dụng chưa được xác minh và cấp cho tài khoản cá nhân quyền truy cập vào ứng dụng của bạn.
Các dự án được sử dụng trong các cấp Phát triển, Kiểm thử hoặc Staging (Thử nghiệm)
Để tuân thủ Chính sách về Google OAuth 2.0, bạn nên có nhiều dự án cho môi trường thử nghiệm và môi trường phát hành công khai. Bạn chỉ nên gửi ứng dụng của mình để được xác minh bạn muốn cung cấp ứng dụng cho bất kỳ người dùng nào có Tài khoản Google. Do đó, nếu ứng dụng của bạn đang trong giai đoạn phát triển, thử nghiệm hoặc thử nghiệm thì việc xác minh là không bắt buộc.
Nếu ứng dụng của bạn đang trong giai đoạn phát triển hoặc thử nghiệm, bạn có thể thoát khỏi Trạng thái xuất bản trong cài đặt mặc định của Kiểm thử. Chế độ cài đặt này có nghĩa là ứng dụng của bạn vẫn đang trong quá trình phát triển và chỉ có sẵn cho những người dùng mà bạn thêm vào danh sách người dùng thử nghiệm. Bạn phải quản lý danh sách Tài khoản Google tham gia vào quá trình phát triển hoặc thử nghiệm ứng dụng.
Chỉ dữ liệu do dịch vụ sở hữu
Nếu ứng dụng của bạn chỉ dùng tài khoản dịch vụ để truy cập vào dữ liệu của chính ứng dụng đó mà không truy cập vào bất kỳ người dùng nào (được liên kết với Tài khoản Google), thì bạn không cần gửi để xác minh.
Để hiểu tài khoản dịch vụ là gì, hãy xem phần Tài khoản dịch vụ trong tài liệu của Google Cloud. Để biết hướng dẫn về cách sử dụng tài khoản dịch vụ, hãy xem Sử dụng OAuth 2.0 cho máy chủ đến máy chủ ứng dụng của bạn.
Chỉ sử dụng nội bộ
Điều này có nghĩa là chỉ những người trong tổ chức Google Workspace hoặc Cloud Identity của bạn mới có thể sử dụng ứng dụng. Dự án phải thuộc sở hữu của tổ chức và màn hình xin phép OAuth của tổ chức đó cần được định cấu hình cho một Người dùng nội bộ . Trong trường hợp này, ứng dụng của bạn có thể cần được quản trị viên tổ chức phê duyệt. Để thông tin khác, xem Bổ sung những điểm cần lưu ý đối với Google Workspace.
- Tìm hiểu thêm về ứng dụng công khai và ứng dụng nội bộ.
- Tìm hiểu cách đánh dấu ứng dụng của bạn là nội bộ trong phần Câu hỏi thường gặp Làm cách nào để đánh dấu ứng dụng của tôi là chỉ dành cho nội bộ?
Cài đặt trên toàn miền
Nếu bạn dự định ứng dụng của mình chỉ nhắm đến người dùng Google Workspace hoặc Cloud Identity và luôn sử dụng trên toàn miền thì ứng dụng của bạn sẽ không yêu cầu xác minh ứng dụng. Điều này là do toàn miền cho phép quản trị viên miền cấp quyền truy cập vào các ứng dụng nội bộ và ứng dụng của bên thứ ba của người dùng . Quản trị viên tổ chức là tài khoản duy nhất có thể thêm ứng dụng vào danh sách cho phép để sử dụng trong miền của họ.
Tìm hiểu cách đặt ứng dụng của bạn ở chế độ Cài đặt trên toàn miền trong phần Câu hỏi thường gặp Ứng dụng của tôi có người dùng doanh nghiệp từ một miền Google Workspace khác.