需要什么样的申请才能通过第三方安全评估？

Question

我们的应用程序希望访问GmailAPI，并且需要一些受限的作用域。当我读OAuth API验证常见问题的时候，我发现了这句话。

对于这些附加要求，请求限制scopes.........One的应用程序是，如果应用程序从服务器或通过服务器访问或具有访问Google用户数据的能力，系统必须经过独立的第三方安全评估。

我的问题是

• 1. 什么样的数据访问需要第三方安全评估(在使用受限范围的应用程序中)？

• 1. 我们的应用程序需要第三方安全评估吗？

我们的应用程序需要

• https://www.googleapis.com/auth/gmail.readonly
• https://www.googleapis.com/auth/gmail.settings.basic
• https://www.googleapis.com/auth/gmail.labels

我们的应用程序使用这些作用域

• 获取用户的电子邮件，这是我们的应用程序特定的标签标签。
• 发送邮件与我们的应用程序特定的标签。
• 创建过滤器，用我们的应用程序特定标签对邮件进行分类。

Answer 1

因此，请注意，谷歌工程师很少会回答这样的问题，如果他们有回应的话，那就是谷歌支持。

1. 什么样的数据访问需要第三方安全评估(在使用受限范围的应用程序中)？

直接来自文档OAuth API验证常见问题

请求敏感作用域的应用程序必须验证它们是否遵循Google的API 服务用户数据策略，并且不需要经过独立的第三方安全评估。此敏感范围验证过程通常需要3-5个工作日才能完成。

来自服务用户数据策略

Google服务，包括Google登录，是身份验证和授权框架的一部分，它使开发人员能够在需要访问Google用户数据时直接与Google用户连接。

简而言之，任何访问私有用户数据的应用程序都有可能需要第三方安全评估。然而，gmail作用域几乎总是需要测试。

1. 我们的应用程序需要第三方安全评估吗？

您似乎正在使用多个gmail作用域，如果您检查服务用户数据策略，它会指出，由于潜在的安全风险，gmail作用域是保存的。

​

​

由于你正在使用Gmail范围，我希望你需要一个评估。