我们在Google应用程序市场上发布了一个使用OAuth 2.0 API访问权限的应用程序。谷歌对它进行了审查,他们说我们的应用程序无效,因为当用户第一次运行该应用程序时,它会显示权限屏幕。(如果我们的应用程序在30天内没有修复,该应用程序将从谷歌应用程序市场中删除)为了解决这个问题,我们遇到了一些问题。
- 我们的应用程序使用OpenID Connect让用户登录
- 我们的应用程序还使用电子表格API和日历资源API(OAuth 2.0 Web应用程序流)
因此,我们与上述相关的问题如下:
1.
尽管我们的应用程序使用OpenID Connect登录,但使用OpenID连接会强制我们的应用显示权限屏幕。它不符合下面谷歌应用市场的最佳实践吗?https://developers.google.com/apps-marketplace/practices#5_use_one-点击_在上签名
我们遵循了谷歌提供的OpenID Connect文档:https://developers.google.com/accounts/docs/OAuth2Login
2.
由于电子表格API和日历资源API目前不支持使用OAuth 2.0服务帐户的身份验证方法,我们选择使用Web应用程序流的方法。我们的应用程序在用户登录时会获得令牌,但谷歌告诉我们,它无法满足他们的SSO要求。为了解决这个问题,我们正在考虑将我们的应用程序更改为在应用程序内授权AFTER登录(按原样使用Web应用程序流方法)。该方式是否符合SSO要求?换句话说,如果登录后显示权限屏幕可以吗?
如果有人能告诉我们解决这些问题的好办法,我们将申请。
谢谢,
如果您在Google Apps Marketplace配置屏幕中注册了您的作用域,然后只在OpenID Connect流中请求这些作用域,那么权限屏幕应该自动跳过。请确保这两个位置之间的作用域匹配。