Google OAuth検証、ここまで2度の審査落ち
1回目の審査落ち
1月24日、Google OAuth検証チームからメールが来ました。
問題点:
“The application name listed on your OAuth consent screen does not match the application name on your homepage.”
翻訳:
「OAuth同意画面に記載されているアプリ名が、ホームページのアプリ名と一致していません。」
そこで取った対策:
- 「月謝袋」と「月謝袋アプリ」 → 「月謝袋」に統一
- WordPressで「新しいウィンドウで開く」設定
- ブログヘッダーをCSSで非表示
- Googleに返信
2回目の審査落ち
1月27日、Google OAuth検証チームから2回目のメール。新しい指摘内容
2つの問題点:
⚠️ プライバシーポリシーの要件
“Your privacy policy does not specify any data protection mechanisms for sensitive data.”
翻訳: プライバシーポリシーに、機密データのデータ保護メカニズムが規定されていません。
⚠️ スコープの不一致
“The scopes listed on your OAuth consent screen are different from the scopes requested in your Cloud Console submission.”
翻訳: OAuth同意画面のスコープと、Cloud Consoleの申請で要求したスコープが異なります。
そこで取った対策:
- プライバシーポリシーに、機密データのデータ保護メカニズムを記述
ー通信の暗号化(HTTPS/TLS)
ーアクセス制御(OAuth 2.0)
ーデータの最小化
ーセキュアストレージ
ーアクセストークンの管理 - スコープの不一致の訂正
これがどこのページの何のことを言っているのかさっぱりわかりませんでした。
散々あちこちを探し、
おそらく、ここのページ(「データアクセス」ページ)で管理の警告マークがでているところが問題なのだろうという
結論にいたりました。
「スコープを追加または削除」 ボタンをクリック
しかし、これ以上、どこにさらにチェックしていいのか・・・と悩んでしまいました。
あらためて、自分のコードを眺めました。
// Calendar APIのスコープを指定
final GoogleSignIn _googleSignIn = GoogleSignIn(
scopes: [
'https://www.googleapis.com/auth/calendar',
'https://www.googleapis.com/auth/calendar.events',
],calendar.eventsというのが気になり
選択したスコープの画面をよく見ると、先に進めるようになっていることに気がつきました
calendar.eventsだけでも6個もありました。
→このうち/auth/calendar.events だけにチェック
非機密のスコープ:
✅ …/auth/userinfo.email
✅ …/auth/userinfo.profile
✅ openid
機密性の高いスコープ:
✅ …/auth/calendar
✅ …/auth/calendar.events
最終的にはこれら5つにチェックをいれました。
そして、2度目の返信をGoogleに返信、修正内容を明確に伝えるようにしました。
🔮 今後の流れ
短期(1〜3営業日):
Googleチームが返信を確認
追加の修正依頼の可能性
または審査継続の通知
中期(数週間〜数ヶ月):
OAuth検証の審査進行
追加の質問や確認の可能性
最終的な審査結果
