In diesem Leitfaden zeigen wir Ihnen, wie Sie beheben können, dass Sie sich nicht bei dieser App anmelden können, weil sie nicht der OAuth 2.0-Richtlinie von Google entspricht. Wenn Sie also seit Stunden im Internet surfen, um die Situation zu überwinden, können Sie sich auf diesen Blog verlassen. Lassen Sie uns also ohne weitere Verzögerung loslegen. Aber vorher können wir über die OAuth 2.0-Richtlinie von Google diskutieren.
Was ist OAuth?
Das OAuth (Open Authorization) Protokoll wurde von der Internet Engineering Task Force entwickelt und ermöglicht einen sicheren delegierten Zugriff. Dadurch kann eine App auf eine Ressource zugreifen, die von jemand anderem (Endbenutzer) kontrolliert wird. Diese Art des Zugriffs benötigt Tokens, die ein delegiertes Zugriffsrecht darstellen. Aus diesem Grund erhalten Anwendungen Zugriff, ohne sich als der Benutzer auszugeben, der die Ressource kontrolliert.
Hier in diesem Blog haben wir versucht, einige Schritte zur Einhaltung der OAuth 2.0-Richtlinien von Google bereitzustellen. Damit Sie Richtlinien befolgen können, um die häufigsten Entwicklerprobleme zu erfüllen, die bei der Vorbereitung Ihrer App für die Produktion auftreten. Es wird Ihnen helfen, das größtmögliche Publikum mit begrenzten Fehlern zu erreichen.
Verwenden Sie getrennte Projekte für Tests und Produktion
Google OAuth-Richtlinien benötigen separate Projekte zum Testen und für die Produktion. Einige der Richtlinien und Anforderungen gelten nur für Produktions-Apps. Daher müssen Sie möglicherweise ein separates Projekt erstellen und konfigurieren, das OAuth-Clients enthält, die der Produktionsversion Ihrer App entsprechen, die allen Google-Konten zur Verfügung steht.
Google OAuth-Clients werden in der Produktion verwendet und helfen bei der Bereitstellung einer vorhersehbaren, stabileren und sichereren Datenerfassungs- und Speicherumgebung als dieselben OAuth-Clients, die dieselbe App testen oder debuggen. Ihr Produktionsprojekt kann zur Verifizierung eingereicht werden und daher zusätzlichen Anforderungen für bestimmte API-Bereiche unterliegen, die wahrscheinlich Sicherheitsbewertungen von Drittanbietern beinhalten.
Schritt 1: Navigieren Sie zur Google API-Konsole, tippen Sie auf Projekt erstellen, geben Sie einen Namen ein und tippen Sie auf Erstellen
Schritt 2: Überprüfen Sie dann OAuth-Clients unter dem Projekt, das möglicherweise mit Ihrer Testebene verknüpft ist. Erstellen Sie gegebenenfalls ähnliche OAuth-Clients für die Produktionsclients im Produktionsprojekt.
Schritt 3: Aktivieren Sie dann alle APIs, die von Ihren Clients verwendet werden
Schritt 4: Überprüfen Sie danach Ihre Konfiguration des OAuth-Zustimmungsbildschirms unter dem neuen Projekt.
Google OAuth-Clients, die in der Produktion verwendet werden, dürfen keine Testumgebungen, Umleitungs-URIs oder Java-Script-Ursprünge haben, die nur Ihnen oder Ihrem Entwicklungsteam zur Verfügung stehen. Wir haben einige Beispiele aufgeführt:
- Die Testserver der einzelnen Entwickler
- Test- oder Vorabversionen der App
Pflegen Sie eine Liste relevanter Kontakte für Project
Google und die einzelnen APIs, die Sie aktiviert haben, müssen sich möglicherweise mit Ihnen in Verbindung setzen, wenn es um Änderungen an seinen Diensten oder neue Konfigurationen geht, die für das Projekt und seine Kunden erforderlich sind. Überprüfen Sie jetzt die IAM-Einträge des Projekts, um sicherzustellen, dass wichtige Personen in Ihrem Team Zugriff haben, um Ihre Projektkonfiguration zu bearbeiten oder anzuzeigen. Beachten Sie, dass diese Konten möglicherweise auch E-Mails über die erforderlichen Änderungen am Projekt erhalten.
Die Rolle besteht aus einer Reihe von Berechtigungen, die es dem Benutzer ermöglichen, bestimmte Aktionen für die Projektressourcen auszuführen. Projektbearbeiter haben die Berechtigung für Aktionen, die den Status ändern, wie z. B. die Möglichkeit, Änderungen am OAuth-Zustimmungsbildschirm des Projekts vorzunehmen. Die Projektinhaber, die über alle Editorberechtigungen verfügen, können mit dem Projekt verknüpfte Konten hinzufügen oder löschen oder das Projekt löschen. Projektinhaber können auch Kontext dafür bieten, warum Rechnungsinformationen festgelegt werden könnten. Die Projektbesitzer können Rechnungsinformationen für ein Projekt einrichten, das kostenpflichtige APIs verwendet.
Die Projektinhaber und die Redakteure sollten auf dem Laufenden gehalten werden. Sie können dem Projekt mehrere verwandte Konten hinzufügen, um zu helfen. Stellen Sie sicher, dass Sie weiterhin auf das Projekt und die damit verbundene Wartung zugreifen können. E-Mails werden von den Konten empfangen, die Benachrichtigungen über das Projekt oder Aktualisierungen unserer Dienste haben. Administratoren der Google Cloud-Organisation müssen sicherstellen, dass mit jedem Projekt in der Organisation ein zugänglicher Kontakt verknüpft ist. Und wenn es keine aktuellen Kontaktinformationen für Ihr Projekt gibt, werden Sie wahrscheinlich obligatorische Nachrichten verpassen, die Ihr Handeln erfordern.
Warnung: Wenn Sie nicht rechtzeitig auf Benachrichtigungen über das Projekt reagieren, kann dies zum Verlust des Zugriffs auf die Google-APIs führen.
Zu beachtende Punkte: Einer der relevanten Kontakte für das Projekt ist die E-Mail-Adresse des Benutzersupports, die für den OAuth-Zustimmungsbildschirm konfiguriert ist. Und wenn die Benutzer Probleme mit Ihrer App haben oder die Administratoren der Google Cloud-Organisation im Namen ihrer Benutzer Fragen haben, wird diese E-Mail-Adresse angezeigt, damit sie den Kontakt aufnehmen können.
Stellen Sie Ihre Identität genau dar
Sie müssen einen echten App-Namen angeben, optional ein Logo, das den Benutzern angezeigt wird. Diese Markeninformationen können genau die Identität der Anwendung darstellen. App-Branding-Informationen werden auf der OAuth-Zustimmungsbildschirmseite konfiguriert.
Und für die Produktions-Apps müssen die im OAuth-Zustimmungsbildschirm definierten Markeninformationen bestätigt werden, bevor sie den Benutzern angezeigt werden. Die Benutzer sind möglicherweise eher bereit, Zugriff auf die App zu gewähren, nachdem sie ihre Markenüberprüfung abgeschlossen hat. Grundlegende Bewerbungsinformationen, darunter der Name der App, die Startseite, die Nutzungsbedingungen und die Datenschutzrichtlinie, werden den Nutzern auf dem Grant-Bildschirm und bei der Überprüfung ihrer bestehenden Grants oder den Google Workspace-Administratoren angezeigt, die die App-Nutzung durch ihre Organisation überprüfen
Google kann den Zugriff auf den Google API-Dienst und die anderen Google-Produkte und -Dienste für Apps widerrufen oder aussetzen, die ihre Identität vortäuschen oder versuchen, Nutzer irrezuführen.
Fordern Sie nur die Bereiche an, die Sie möchten
Während der Entwicklung Ihrer Anwendung haben Sie möglicherweise einen von API angebotenen Beispielumfang verwendet, um einen Proof-of-Concept innerhalb Ihrer Anwendung zu erstellen, um mehr über die Funktionen und Funktionen von APIs zu erfahren. Diese Beispielumfänge erfordern häufig mehr Informationen als die endgültige Implementierung der App-Anforderungen, da sie eine weitreichende Abdeckung aller möglichen Aktionen für eine bestimmte API bieten.
Beispiel: Der Beispielbereich kann Lese-, Schreib- und Löschberechtigungen anfordern, während Ihre Anwendung nur Leseberechtigungen benötigt, relevante Berechtigungen anfordern, die auf kritische Informationen beschränkt sind, die für die Implementierung der Anwendung unerlässlich sind.
Überprüfen Sie nun die Referenzdokumentation für den API-Endpunkt, den Ihre App aufruft, und notieren Sie sich die Bereiche, die sie benötigen, um auf die zugehörigen Daten zuzugreifen, die unsere App benötigt. Überprüfen Sie dann alle Autorisierungsleitfäden, die die API anbietet, und beschreiben Sie die Bereiche detaillierter, um die häufigste Verwendung einzubeziehen. Wählen Sie den minimalsten Datenzugriff aus, den Ihre Anwendung benötigt, um die zugehörigen Funktionen zu betreiben.
Reichen Sie Produktions-Apps ein, die sensible oder eingeschränkte Bereiche zur Überprüfung verwenden
Nun, bestimmte Bereiche werden als „sensibel“ oder „eingeschränkt“ eingestuft und können nicht ohne Überprüfung in Produktions-Apps verwendet werden. Sie müssen alle Bereiche eingeben, die Ihre Produktions-App in der Konfiguration des OAuth-Zustimmungsbildschirms verwendet. Beachten Sie, dass Sie, wenn Ihre Produktions-App vertrauliche oder eingeschränkte Bereiche verwendet, Ihre Verwendung von Bereichen zur Überprüfung einreichen sollten, bevor Sie Bereiche in eine Autorisierungsanforderung einschließen.
Verwenden Sie nur Domains, die Ihnen gehören
Der Überprüfungsprozess des OAuth-Zustimmungsbildschirms von Google erfordert die Überprüfung aller Domänen, die mit der Homepage des Projekts, der Datenschutzrichtlinie, den Nutzungsbedingungen, autorisierten Umleitungs-URIs oder autorisierten Java-Script-Ursprüngen in Verbindung stehen. Überprüfen Sie dann die Liste der Domänen, die von Ihrer App verwendet und im Abschnitt „Autorisierte Domänen“ des OAuth-Zustimmungsbildschirm-Editors zusammengefasst werden, und erkennen Sie dann alle Domänen, die Sie nicht besitzen und die Sie daher nicht verifizieren könnten. Um die Inhaberschaft der autorisierten Domains des Projekts zu verifizieren, verwenden Sie dann die Google Search Console. Verwenden Sie danach das Google-Konto, das mit dem API-Konsolenprojekt verknüpft ist, als Eigentümer oder Bearbeiter.
Und wenn Ihr Projekt einen Dienstanbieter mit einer regulären, gemeinsam genutzten Domäne verwendet, empfehlen wir, Konfigurationen zu aktivieren, die die Verwendung Ihrer eigenen Domäne zulassen. Einige Anbieter bieten an, ihre Dienste einer Subdomain einer Domain zuzuordnen, die Sie bereits besitzen.
Verwenden Sie sichere Weiterleitungs-URIs und JavaScript-Ursprünge
OAuth 2.0-Clients für Webseiten müssen ihre Daten sichern, die HTTPS-Umleitungs-URIs und JavaScript-Ursprünge verwenden, nicht einfaches HTTP. Google kann OAuth-Anfragen ablehnen, die nicht von sicheren Inhalten initiiert oder aufgelöst werden.
Überlegen Sie nun, welche der Anwendungen und Skripte von Drittanbietern möglicherweise Zugriff auf die Token und die anderen Benutzeranmeldeinformationen haben, die zu dieser Seite zurückkehren. Durch die Beschränkung des Zugriffs auf sensible Daten werden URI-Standorte umgeleitet, die auf die Überprüfung und Speicherung von Tokendaten beschränkt sind.
Nächste Schritte
Sobald Sie sichergestellt haben, dass Ihre App mit OAuth 2.0-Richtlinien auf der Seite kompiliert wird, finden Sie weitere Informationen zum Verifizierungsprozess unter Zur Markenverifizierung einreichen.
Fazit
Das ist alles darüber, dass Sie sich nicht bei dieser App anmelden können, weil sie nicht der OAuth 2.0-Richtlinie von Google entspricht. Ich hoffe, Ihnen hat der Blog gefallen. Danke fürs Lesen.