руслан мусагитов

Верификация приложения Google OAuth

В проекте Functions - save to sheets мы используем Sheets API от Google. В том числе область действия /auth/spreadsheets, позволяющая читать и писать в таблицы пользователя.
Руслан Мусагитов
Управляющий партнер
Если ваше приложение будет доступно внешним пользователям, то его нужно верифицировать в следующих случаях:

  • Ваше приложение использует личные и/или ограниченные области действия

  • Ваше приложение отображает иконку в окне запроса доступа OAuth

  • Ваше приложения имеет большое количество авторизованных доменов

  • Вы внесли изменения в ранее проверенное окно запроса доступа OAuth
Без верификации ваше приложение будет иметь ограничение на максимальное количество пользователей, и авторизация будет усложнена дополнительным предупреждением, о том что приложение не проверено для пользователя.
Рисунок 1. Предупреждение о том, что приложение не верифицировано
Для подготовки вашего проекта для проверки, вам нужно пойти в раздел "окно запроса доступа OAuth" в Google Console.
Рисунок 2. OAuth экран соглашения неверифицированного проекта.
Для проверки нужно подготовить:

  • название приложения

  • логотип приложения

  • email для связи

  • авторизованный домен

  • ссылку на домашнюю страницу приложения, размещенную на авторизованном домене

  • ссылку на политику конфиденциальности приложения, размещенную на авторизованном домене
Крайне важный пункт - политика конфиденциальности. В ней нужно обязательно указать как ваше приложение получает, использует, хранит и делится данными пользователя. И приложение не должно выходить за рамки использования, заявленного в политике конфиденциальности.
Так выглядит политика конфиденциальности для нашего проекта Functions - save to sheets: http://bytepace.com/ru/functionsapp/tos-and-privacy-policy.
После отправки на проверку, у вас могут дополнительно запросить видео, загруженное на Youtube, на котором видно:

  1. Как залогиниться в ваш проект

  2. Как запросить OAuth токен (OAuth экран согласия/запроса разрешений)

  3. Как функциональность вашего приложения будет использовать запрошенные области действия
- области действия, которые вы запрашиваете, с доступом к личным данным пользователя

4. Показать что задача решаемая приложением успешно выполнена
- любые изменения, произведенные приложением, успешно отражены в гугл диске пользователя
В нашем случае мы записали видео с устройства, в нем отразили моменты, где используется область действия /auth/spreadsheets. Видео загрузили на youtube и отправили ссылку проверяющему.
Во время ревью нас также попросили обновить кнопку логина, чтобы она соответствовала правилам бренда: https://developers.google.com/identity/branding-guidelines.
Мы поправили это, отправили скриншот и через сутки получили ответ, что приложение одобрено.
Заключение
Мы могли бы ускорить процесс, если бы сразу записали видео демонстрацию и отправили ссылку при отправке запроса на проверку. Домашнюю страницу и политику конфиденциальности тоже можно подготовить заранее. Тогда верификация заняла бы пару дней.

У нас на это ушла неделя, в основном из-за исправлений.

Статья, которая нам очень помогла в подготовке и прохождении проверки: https://medium.com/@crspybits/the-google-oauth-review-process-9d1b05f53aea
Спасибо за внимание!
BytePace © Все права защищены