OAuth 用戶端驗證

要求特定機密 OAuth 範圍的 Google OAuth 用戶端須通過 Google 驗證。

如果您未驗證指令碼專案的 OAuth 用戶端,當網域外的使用者嘗試授權指令碼時,系統會顯示「未經驗證的應用程式」畫面。未經驗證的授權流程可讓這些使用者授權並使用未經驗證的應用程式,但前提是他們必須先確認瞭解相關風險。未經驗證的應用程式可連結的使用者總數也設有上限。

如需詳細資訊,請參閱下列文章:

 

未經驗證的應用程式畫面
圖 1:未經驗證的應用程式畫面
未經驗證的應用程式授權流程
圖 2:未經驗證的應用程式授權流程

 

這項異動適用於 Google OAuth 網頁用戶端,包括所有 Apps Script 專案使用的用戶端。向 Google 驗證應用程式後,您就能從授權流程中移除未經驗證的應用程式畫面,讓使用者確信您的應用程式沒有惡意。

未經驗證的應用程式

外掛程式、網路應用程式和其他部署作業 (例如使用 Apps Script API 的應用程式) 可能需要驗證。

適用性

如果應用程式使用機密 OAuth 範圍,授權流程中可能會出現未經驗證的應用程式畫面。應用程式是否會顯示未經驗證的授權流程,取決於發布應用程式的帳戶,以及嘗試使用應用程式的帳戶。舉例來說,如果應用程式是在特定 Google Workspace 機構內部發布,即使應用程式尚未通過驗證,該網域中的帳戶也不會看到未經驗證的應用程式授權流程。

下表說明哪些情況會導致未經驗證的應用程式授權流程:

客戶已通過驗證 發布者是客戶 A 的 Google Workspace 帳戶 指令碼位於客戶 A 的共用雲端硬碟中 發布者是 Gmail 帳戶
使用者是客戶 A 的 Google Workspace 帳戶 一般驗證流程 一般驗證流程 一般驗證流程 未驗證的授權流程
使用者是 Google Workspace 帳戶,但不是客戶 A 的帳戶 一般驗證流程 未驗證的授權流程 未驗證的授權流程 未驗證的授權流程
使用者是 Gmail 帳戶1 一般驗證流程 未驗證的授權流程 未驗證的授權流程 未驗證的授權流程

1任何 Gmail 帳戶,包括用於發布應用程式的帳戶。

使用者人數上限

為避免濫用,可透過未經驗證的應用程式流程授權應用程式的使用者人數設有上限。詳情請參閱「OAuth 應用程式使用者限制」。

要求驗證

您可以要求驗證應用程式使用的 OAuth 用戶端,以及相關聯的 Cloud Platform (GCP) 專案。應用程式通過驗證後,使用者就不會再看到「未經驗證的應用程式」畫面。此外,您的應用程式將不再受使用者人數上限限制。

需求條件

如要提交 OAuth 用戶端進行驗證,必須符合下列規定:

  1. 您必須擁有網域中的網站。網站必須提供可供大眾存取的頁面,說明應用程式和隱私權政策。您也必須向 Google 驗證網站擁有權

  2. 指令碼專案使用的 Google Cloud 專案必須是標準 Google Cloud 專案,且您必須擁有編輯權限。如果指令碼使用預設的 Google Cloud 專案,請改用標準的 Google Cloud 專案

此外,您必須提供下列必要素材資源:

  • 應用程式名稱:應用程式名稱,會顯示在同意畫面上。這個名稱應與應用程式在其他位置使用的名稱一致,例如已發布應用程式的 Google Workspace Marketplace 資訊。
  • 應用程式標誌。應用程式標誌 JPEG、PNG 或 BMP 圖片,用於同意畫面。檔案大小不得超過 1 MB。
  • 支援電子郵件。這是顯示在同意畫面中的電子郵件地址,使用者可透過這個地址尋求應用程式支援。可以是您的電子郵件地址,或是您擁有或管理的 Google 群組。
  • 範圍:應用程式使用的所有範圍清單。您可以在 Apps Script 編輯器中查看範圍
  • 授權網域。這是包含應用程式相關資訊的網域清單。應用程式的所有連結 (例如必要的隱私權政策頁面) 都必須託管在已授權的網域。
  • 應用程式首頁網址。說明應用程式的首頁位置。這個位置必須代管於授權網域。
  • 應用程式隱私權政策網址。說明應用程式隱私權政策的網頁位置。這個位置必須代管於授權網域。

除了上述必要素材資源外,您也可以選擇提供應用程式服務條款網址,指向說明應用程式服務條款的網頁。如果提供這項資訊,這個位置必須位於授權網域。

步驟

  1. 如果您尚未驗證所有授權網域的擁有權,請先完成驗證,這些網域會用於代管指令碼專案的隱私權政策和其他資訊。網域的已驗證擁有者必須是指令碼專案的編輯者或擁有者。
  2. 在 Apps Script 專案中,按一下「總覽」 。 在「專案 OAuth 範圍」下方,複製指令碼專案使用的範圍。

  3. 使用您收集的文字和網址資產,完成應用程式 Google Cloud 專案的 OAuth 同意畫面

    1. 列出應用程式資訊 (例如隱私權政策) 的授權網域

    2. 如要新增應用程式範圍,請按一下「Add or Remove Scopes」(新增或移除範圍)。產生的對話方塊會嘗試自動偵測您在 Google Cloud 控制台中啟用的 API 範圍 (例如進階服務)。勾選對應方塊,即可從這份清單中選取範圍。

      這個自動偵測的清單不一定會包含 Apps Script 內建服務使用的範圍。您必須在「手動新增範圍」下方輸入這些範圍。

      完成後,請按一下「更新」

  4. 輸入所有必要資訊後,按一下「儲存」

  5. 按一下「提交以供驗證」,開始提出驗證要求。

大多數驗證要求會在 24 至 72 小時內收到回覆。 您可以在 OAuth 同意畫面表單頂端查看「驗證狀態」。確認 OAuth 用戶端通過驗證後,應用程式就會通過驗證。