GoogleのOAuth審査に苦労した話

FF14ロードストーン外部画像用Google フォト画像URL取得の記事で

Google Picker APIを使っているのですが、2019年の11月頃から

Googleのセキュリティ強化の影響でAPIの利用に大きく制限が加わりました。

具体的には以下の2点です。

  • ユーザーにAPIを使ってもらう際の同意画面に未確認アプリと表示される
  • APIのユーザー数が100人に限定される

同意画面は周知すればなんとかなりますが、ユーザー数の制限が厳しい。

このままでは使えなくなるということでGoogleのOAuth審査を行って、

制限を解除してもらうことにしました。

結果を先に言うと4回リジェクトされました。

参考サイト: https://qiita.com/satrex/items/e69500f1b2decf13156c を見ていたのですが、

しっかりと対応が出来ていなかったです。

1回目の審査

とりあえず、軽い気持ちで審査を依頼。

なにやら色々と指摘を受けました。

指摘を受けた内容は以下の3つです。

プライバシーポリシーがホームページのものと異なる、かつどのスコープをどんな目的で使うのか明確ではない

「FF14ロードストーン外部画像用Google フォト画像URL取得」専用のプライバシーポリシーを作成し、 同意画面のプライバシーポリシー参照先に指定していました。

しかし、アプリ名はホームページと一致するようにしないといけないようで、プライバシーポリシーも同様みたいです。

「FF14ロードストーン外部画像用Google フォト画像URL取得」専用のプライバシーポリシーは削除し、Google Picker APIを利用している「はてなブログ」のプライバシーポリシーを参考に、「チョコボのメモちょう」のプライバシーポリシーを修正しました。

ドメイン検証が必要

同意画面の承認済みドメインに指定したドメインはGoogle Search Consoleで所有者の確認が必要とのことです。

Google APIのプロジェクト作成アカウントにて、ドメインの所有者の確認を行いました。

ホームページと同意画面のアプリ名が異なる

同意画面のアプリ名を 「FF14ロードストーン外部画像用Google フォト画像URL取得」 としていました。

しかし、ホームページは「チョコボのメモちょう」のため、一致していないと指摘を受けたようです。

なので、同意画面のアプリ名を「チョコボのメモちょう」に修正しました。

上記3つの指摘対応後、メールで再度審査を依頼しました。

Dear Google

Thank you for verification OAuth App.

I updated my project is to reflect requirements received.
Please verify the OAuth App again.

Sincerely

2回目の審査

これで通るかなと思ったらリジェクトされました。

スコープが必要な理由が分からないため、例を参考にして申請し直してくださいとのことです。

1回目の再申請の際、スコープ利用の目的を以下のようにして申請しました。

チョコボのめもちょうの「FF14ロードストーン外部画像用Google フォト画像URL取得(https://ff14chocopad.com/archives/26747287.html)」にて、写真のURLを表示するのに利用しています。

これではスコープが必要な理由が分からないからダメだったようです。

以下のように修正して申請し直しました。(同意画面を一部でも更しないと再申請できなかったので、ホームページのURLの末尾スラッシュを削除して申請しました。)

私のアプリはhttps://www.googleapis.com/auth/photosを使用して、ユーザーが選択/アップロードした写真のURLをアプリに表示します。
そして、ユーザーは表示されたURLを使用して、FF14ロードストーン(https://na.finalfantasyxiv.com/lodestone/)の日記にて、写真を貼り付けることができます。
※FF14ロードストーンの日記に写真を貼り付ける機能については以下の公式のお知らせを参照ください。
https://na.finalfantasyxiv.com/lodestone/special/update_log/1/#20140430

3回目の審査

そろそろ行けるのではと思ったのですが、ダメでした。

上記指摘内容を要約すると、

テストアカウントを用意し、データの使用方法を字幕 (英語) で説明するデモビデオを作成してください。

注意点として以下の3つが分かるようにしてください。

  • プロジェクトにログインする方法(クライアントIDを含むURLバーがはっきり見えるようにする)
  • OAuthトークンをリクエストする方法(OAuth同意画面/許可ページ)
  • プロジェクトの機能がリクエストされたスコープをどのように利用するかhttps://www.googleapis.com/auth/photos

デモビデオはYouTubeにアップロードし、ビデオへのリンクをメールで返信してください。

指摘通りにデモビデオを作成し、リンクをメールで返信しました。

Dear Google

Thank you for verification OAuth App.

I created a demo video and uploaded it to youtube.
Demo video link: https://youtu.be/fG2iild7Muo
Please verify the OAuth App again.

Sincerely

4回目の審査

流石に審査完了かと思ったのですが、まだダメでした。

デモビデオの字幕は英語でしたが、サイトを英語にしていなかったのが悪かったようです。

Chromeの翻訳機能を使ったり、Chromeの言語設定を英語に変更したりして、

サイトが英語で表示されるようにして動画を作成し、メールで返信しました。

Dear Google

Thank you for verification OAuth App.

I recreated the demo video and uploaded it to youtube.
Demo video link: https://youtu.be/X32m-ltmlRQ
Please verify the OAuth App again.

審査完了

5回目の審査にてやっと承認されました。。

何度も審査に落とされるとホントに審査が通るのか心配になりましたが、

無事審査が通ってよかったです。