Google OAuth Verificação & Credenciais da API do Gmail
Passo a passo: crie credenciais OAuth da API do Gmail, passe pela verificação do aplicativo Google e pela revisão de Nível 2 do CASA - ou envie hoje mesmo com a chave OAuth já certificada da Unipile e certifique a sua mais tarde.
// Ignore completamente a configuração do Google Cloud.// A chave OAuth certificada da Unipile cuida disso. const response = await fetch('https://api.unipile.com/api/v1/hosted/accounts', { method: 'POST', cabeçalhos: { 'X-API-KEY': process.env.UNIPILE_API_KEY, 'Content-Type': 'application/json' }, body: JSON.stringify({ tipo: 'Google', nome: ''usuário-123'', expiraEm: '2026-12-31' })}); const { url } = await resposta.json();// Redireciona seu usuário para `url` - feito.O que é, na verdade, a verificação do Google OAuth
A verificação do Google OAuth é o processo formal de aprovação pelo qual o Google confirma que seu aplicativo trata os dados dos usuários de acordo com suas políticas. Até que seu aplicativo seja aprovado nessa análise, ele é considerado não verificado — o que significa que os usuários veem uma tela de aviso e você fica limitado a, no máximo, 100 usuários de teste. A análise é obrigatória sempre que seu aplicativo solicitar escopos sensíveis ou restritos da API do Gmail de usuários externos (não internos).
Escopos sensíveis: o que são
Escopos sensíveis permitem que seu aplicativo leia ou modifique dados do usuário além das informações básicas de perfil. Para o Gmail, estes incluem:
gmail.somente leitura- ler todas as mensagensgmail.enviar- enviar e-mails em nome do usuáriogmail.modificar- ler, redigir, arquivarmail.google.com- acesso completo (restrito)
Os escopos sensíveis exigem uma avaliação de segurança do Google. Os escopos restritos (como o acesso IMAP completo) exigem, além disso, uma auditoria CASA de Nível 2. Consulte a referência completa dos escopos em nosso Guia de Escopos da API do Gmail.
Por que a API do Gmail sempre aciona isso
Ao contrário do fluxo básico de login do Google (que solicita apenas dados de perfil), a API do Gmail sempre solicita escopos que concedem acesso ao conteúdo da caixa de correio do usuário. O Google considera qualquer permissão relacionada à caixa de correio como confidencial por definição.
Isso significa que: todo desenvolvedor que deseje utilizar a API do Gmail para usuários externos deve passar pela verificação de aplicativos do Google OAuth — não existe nenhuma versão da API do Gmail que isente dessa exigência para uso em produção.
Não tem certeza se precisa de credenciais OAuth ou de uma simples chave de API? Leia nosso Guia comparativo entre a chave de API do Gmail e o OAuth.
Diferença chave: A verificação do OAuth do Google não é um evento único. Se você adicionar novos escopos a um aplicativo já verificado, deverá enviar o aplicativo para uma nova revisão cobrindo esses escopos adicionais. Planeje sua estratégia de escopo antes de iniciar o processo – isso economiza semanas.
Semanas de verificação.
Uso Chave Unipile e comece agora.
Não perca clientes esperando pela avaliação do Google. Conecte contas do Gmail em 5 minutos com nossas credenciais de desenvolvedor pré-verificadas.
Como obter credenciais da API do Gmail: passo a passo
Para obter as credenciais OAuth da API do Gmail, são necessárias seis etapas distintas no Google Cloud Console. Aqui está a sequência completa — desde a criação do seu projeto até a obtenção de um id_cliente e segredo_do_cliente.
- Criar um projeto do Google Cloud - seu contêiner isolado de faturamento e API.
- Ativar a API do Gmail - ative a API na Biblioteca de APIs para o seu projeto.
- Configurar a tela de consentimento do OAuth - escolha o tipo de aplicativo (externo vs. interno), preencha o nome do aplicativo, e-mail de suporte e domínios autorizados.
- Adicionar escopos - selecione os escopos do Gmail que seu aplicativo precisa; isso determina se uma revisão de segurança é necessária.
- Criar um ID de cliente OAuth - escolha o tipo de aplicativo (Web, Desktop ou iOS/Android) e registre suas URIs de redirecionamento.
- Enviar para verificação - Se o seu aplicativo for externo e utilizar escopos confidenciais, envie-o pelo portal de verificação do Google.
Ir console.cloud.google.com, clique no seletor de projetos na barra de navegação superior e selecione "Novo Projeto". Dê a ele um nome que reflita seu produto - ele aparecerá na tela de consentimento OAuth que os usuários veem.
Ative o faturamento no projeto, mesmo que você preveja ficar dentro dos limites gratuitos. Muitas APIs (incluindo o Gmail) exigem que uma conta de faturamento esteja vinculada antes de poderem ser ativadas, mesmo com uso $0.
Google Cloud Console: crie um novo projeto através do seletor de projetos na barra de navegação superior.
No Console do Google Cloud, navegue até "APIs e Serviços" > "Biblioteca". Procure por "Gmail API" e clique em "Ativar". Você provavelmente também vai querer ativar a API do Google People se precisar de dados de contato junto com e-mails.
Após ativar, a API do Gmail aparece no seu painel "APIs ativadas". Chamadas de API sem credenciais válidas retornarão um 403 acessoNãoConfigurado erro mesmo nesta fase - as credenciais vêm a seguir.
Biblioteca da API do Google: procure por "API do Gmail" e clique em Ativar para ativá-la para o seu projeto.
Acesse "APIs e serviços" > "Tela de consentimento do OAuth". Escolha seu tipo de usuário:
- Interno - Somente usuários dentro da sua organização do Google Workspace. Nenhuma verificação é necessária.
- Externo - qualquer conta Google. Verificação necessária para escopos sensíveis/restritos além de 100 usuários de teste.
Tela de consentimento do OAuth: escolha Interno (somente para o Workspace) ou Externo (qualquer conta Google) como seu tipo de usuário.
Preencha o nome do aplicativo, o e-mail de suporte ao usuário e o e-mail de contato do desenvolvedor. Esses campos aparecem na tela de consentimento que os usuários veem ao autorizar seu aplicativo. Adicione seu domínio autorizado (o domínio da sua página inicial e da URL da política de privacidade).
Para um tour detalhado de cada campo, o limite de 100 usuários e a escolha Interno vs. Externo, veja nosso Guia de configuração da tela de consentimento.
Informações do aplicativo: preencha o nome do aplicativo, o logotipo e o e-mail de suporte exatamente como devem aparecer na tela de consentimento.
Domínio do aplicativo: forneça URLs ativos para sua página inicial, política de privacidade e termos de serviço. A equipe de revisão do Google verifica estes.
Domínios Autorizados: adicione o domínio raiz do seu aplicativo. Apenas URIs deste domínio podem ser usadas como URIs de redirecionamento.
Informações de contato do desenvolvedor: o Google usa este e-mail para notificar você sobre alterações no status de verificação do seu app.
Dica: A seção "Domínio do aplicativo" aceita vários links (Homepage, Política de Privacidade, Termos de Serviço). A equipe de verificação do Google verificará se esses URLs estão ativos e refletem os escopos que você está solicitando. Um URL de política de privacidade ausente ou quebrado é um dos motivos mais comuns para rejeição de verificações.
Na configuração da tela de consentimento, clique em "Adicionar ou remover escopos". Use o filtro para localizar os escopos do Gmail. O escopo escolhido tem um impacto direto no seu caminho de verificação:
gmail.enviarougmail.somente leitura- sensível, requer avaliação de segurança.gmail.modificaroumail.google.com- restrito, requer CASA Nível 2 adicionalmente.openid email perfilapenas - nenhuma verificação necessária (login básico).
Adicionar ou Remover Escopos: selecione os escopos do Gmail que seu aplicativo requer. A seleção de escopos determina diretamente sua trilha de verificação.
Planeje a seleção do escopo com cuidado. Adicionar um escopo restrito posteriormente significa reenviar o aplicativo inteiro para uma revisão adicional do CASA Nível 2. Para referência completa do escopo e quais APIs cada escopo desbloqueia, consulte nosso Guia de Escopos da API do Gmail.
Acesse "APIs e Serviços" > "Credenciais" > "Criar Credenciais" > "ID do cliente OAuth". Selecione o tipo de aplicativo:
- Aplicativo da Web - para aplicativos do lado do servidor. Registre suas URIs de redirecionamento (ex:.
https://yourapp.com/oauth/callback). - Aplicativo de desktop - para aplicativos instalados. Usa redirecionamento loopback.
- iOS / Android - aplicativos móveis, usa esquemas de URI personalizados.
Painel de Credenciais: selecione "OAuth Client ID" para gerar o client_id e o client_secret que seu aplicativo precisa.
Após a criação, baixe o arquivo de credenciais JSON. Ele contém suas id_cliente, segredo_do_cliente, e URIs de redirecionamento registrados. Armazene-o com segurança - nunca o confirme no controle de origem.
Para uma análise aprofundada da diferença entre este tipo de credencial e uma chave de API simples, consulte nossa Guia comparativo entre a chave de API do Gmail e as credenciais OAuth.
Tokens de acesso e tokens de atualização: quando um usuário completa o fluxo OAuth, você recebe um de curta duração token_de_acesso (válido por cerca de 1 hora) e um token_de_atualização (de longa duração, armazenado no lado do servidor). Seu servidor usa o token de atualização para obter novos tokens de acesso sem solicitar novamente ao usuário. Sempre solicite access_type=offline e consentimento na primeira autorização para receber o token de atualização. Armazene tokens de atualização criptografados em repouso.
Para uma visão mais ampla de como o OAuth se encaixa na arquitetura de API de e-mail – incluindo estratégias de sincronização e diferenças entre provedores – veja nosso Guia da API de E-mail OAuth.
Use a chave UnipileO aviso "Este aplicativo não foi verificado", o limite de 100 usuários e isenções
Antes que seu aplicativo passe pela verificação do aplicativo Google OAuth, todo usuário que tentar autorizá-lo verá uma tela de aviso. O Google também impõe um limite rígido de 100 usuários em aplicativos externos não verificados. Veja o que isso significa exatamente e quando não se aplica.
A tela exibe: "Este app não foi verificado. Este app não foi verificado pelo Google. Ele pode estar solicitando acesso a informações confidenciais. Saiba mais sobre os riscos." Os usuários devem clicar em "Avançado" e, em seguida, em "Ir para [Nome do App] (inseguro)" para prosseguir. A maioria dos usuários não técnicos parará aqui - este é o custo real de pular ou atrasar a verificação.
Quando a verificação do aplicativo Google OAuth NÃO é necessária
Uso interno apenas
Se você definir sua tela de consentimento do OAuth como "Interna" e seu aplicativo atender apenas usuários dentro da sua própria organização do Google Workspace, não será necessária nenhuma verificação — independentemente dos escopos solicitados. Esse é o caminho mais rápido para ferramentas internas.
Modo de teste (menos de 100 usuários)
Um aplicativo externo não verificado pode ter até 100 usuários de teste adicionados por meio do Google Cloud Console. Esses usuários específicos podem autorizar o aplicativo sem encontrar um bloqueio total — eles veem o aviso, mas podem continuar. Útil para desenvolvimento e beta privado com uma equipe pequena.
Escopos básicos apenas
Se o seu aplicativo solicitar apenas escopos não confidenciais (openid, email, perfil — login básico do Google), não será necessária nenhuma verificação, mesmo para usuários externos em qualquer escala. A verificação é acionada especificamente por escopos confidenciais e restritos.
Enquadramento importante: A intenção do limite de 100 usuários e da tela de aviso é proteger os usuários enquanto um aplicativo está em revisão. A resposta correta ao atingir o limite é enviar seu aplicativo para verificação de aplicativo do Google OAuth, e não criar vários projetos do Google Cloud para distribuir usuários entre eles. O Google proíbe explicitamente essa abordagem e isso pode resultar na suspensão da sua conta de desenvolvedor. O caminho compatível é verificar seu aplicativo ou usar uma plataforma que já forneça uma chave OAuth verificada, como a Unipile.
Verificação do app Google: cronograma e custo em 2026
A verificação de aplicativos do Google não é um processo único — ela possui três etapas distintas, dependendo dos escopos solicitados pelo seu aplicativo. Cada etapa tem seu próprio prazo e custo. Veja o que esperar em 2026.
Mesmo que seu aplicativo utilize apenas escopos não confidenciais (login básico do Google), o Google ainda pode exigir a verificação da marca para confirmar a identidade do seu aplicativo e o domínio da página inicial. Esse processo geralmente leva de 2 a 3 dias úteis e não implica nenhum custo além do seu tempo.
Você precisará verificar a propriedade do domínio via Google Search Console e garantir que sua tela de consentimento do OAuth descreva com precisão seu aplicativo.
Aplicativos que solicitam escopos sensíveis do Gmail devem passar pela avaliação completa de segurança do Google. A equipe do Google revisa as práticas de tratamento de dados do seu aplicativo, a política de privacidade e a justificativa para cada escopo que você solicita.
O tempo de resposta típico é 2-4 semanas quando o seu envio estiver concluído. Envios incompletos (falta da política de privacidade, justificativas vagas sobre o escopo, domínios autorizados incompatíveis) reiniciam o prazo. O Google pode solicitar uma demonstração ou documentação adicional durante esse período.
Aplicativos solicitando escopos restritos - principalmente https://mail.google.com/ (acesso completo em nível IMAP) - deve concluir um Avaliação de segurança CASA Nível 2 Além da revisão do próprio Google. CASA (Cloud Application Security Assessment) é uma auditoria de segurança independente realizada por um laboratório aprovado pelo Google.
Em 2026 o Google oferece um caminho autoatendimento CASA Nível 2 por laboratórios aprovados, custando tipicamente $540-$1.000 (taxas de laboratório para rastreamento automatizado). Esta é uma melhoria significativa em comparação com o sistema legado. A avaliação de segurança mais antiga, guiada manualmente, anteriormente exigida pelo Google para a mesma classe de escopo, custava $15.000-$75.000 e levou meses - essa trilha de legado ainda se aplica a alguns aplicativos grandfathered e casos de uso corporativos de ponta. Ao orçar, confirme com o laboratório escolhido qual trilha se aplica ao seu aplicativo.
Linha do tempo total incluindo a própria revisão do Google após o CASA: 4-12 semanas da primeira submissão à aprovação.
Resumo de custos: Verificação de aplicativo Google OAuth em 2026
| Faixa de verificação | Escopo de nível | Linha do tempo | Custo |
|---|---|---|---|
| Verificação de marca | Não confidenciais (OpenID, e-mail, perfil) | 2-3 dias úteis | Grátis |
| Avaliação de segurança | Sensível (gmail.send, gmail.readonly, gmail.modify) | 2-4 semanas | Grátis |
| CASA Nível 2 (autoatendimento, 2026) | Restrito (mail.google.com) | 4-8 semanas | ~$540-$1.000 |
| CASA Nível 2 (manual legado, pré-2025) | Restrito (mail.google.com) | 8 a 12 semanas ou mais | $15k-$75k |
Fontes: Políticas do Google OAuth 2.0 (developers.google.com) e Google Cloud - Visão geral da verificação de apps OAuth (support.google.com). Os preços do autoatendimento do CASA Nível 2 baseiam-se nas tarifas de laboratório aprovadas no primeiro trimestre de 2026 e podem variar de acordo com o laboratório e o número de escopos da aplicação. A faixa de preços $15k-$75k, já em vigor, aplicava-se às aplicações que passaram pelo programa anterior de avaliação de segurança obrigatória do Google, realizado por fornecedores, antes de a opção de autoatendimento do CASA se tornar disponível.
Pule a filaErros comuns do Google OAuth que você encontrará
Quando você gerencia seu próprio projeto do Google Cloud, alguns erros aparecem repetidamente durante o desenvolvimento e após a entrada em produção. Aqui está uma referência rápida para os seis mais comuns.
O URI de redirecionamento na sua solicitação não corresponde exatamente a um registrado no Google Cloud Console (protocolo, barra final e porta são importantes).
O administrador do Google Workspace do usuário bloqueou aplicativos OAuth de terceiros ou restringiu os escopos específicos que seu aplicativo está solicitando.
Seu app usa escopos sensíveis ou restritos, mas não concluiu o processo de verificação do Google, portanto o Google bloqueia o consentimento para novos usuários.
O token de atualização expirou ou foi revogado (o usuário trocou a senha, revogou o acesso ou o token ficou inativo por 6 meses). O usuário deve se autenticar novamente.
A tela de consentimento está mal configurada no Google Cloud Console: tipo de usuário incorreto (Interno vs. Externo), usuários de teste ausentes ou o aplicativo ainda está no estado de rascunho.
Uma string de escopo contém um erro de digitação, ou a API correspondente (por exemplo, API do Gmail) não foi ativada no Google Cloud Console para o seu projeto.
Precisa do diagnóstico completo? Cada um desses erros tem uma correção específica. Veja nosso guia completo para Erros comuns do Google OAuth e da API do Gmail e como corrigir cada um.
Quando o OAuth é tratado pela Unipile, um intermediário técnico independente agindo em nome de cada usuário autenticado, esses erros são gerenciados na camada da API. A Unipile já é certificada como CASA Tier 2, portanto, os obstáculos de verificação são tratados uma vez, não uma vez por projeto.
Semanas de verificação.
Uso Chave Unipile e comece agora.
Não perca clientes esperando pela avaliação do Google. Conecte contas do Gmail em 5 minutos com nossas credenciais de desenvolvedor pré-verificadas.
Google OAuth Simplificado: DIY vs. Gerenciado - Lance agora ou espere semanas?
Se seu aplicativo precisa de acesso ao Gmail para usuários externos, você enfrenta dois caminhos: executar seu próprio projeto do Google Cloud através do processo completo de verificação do aplicativo OAuth do Google (6-12 semanas), ou criar em uma plataforma que já possui uma chave OAuth certificada de Tier 2 CASA (1-2 dias). Veja como cada caminho se desenrola - e por que eles não são mutuamente exclusivos.
A leitura estratégica: o caminho DIY faz sentido a longo prazo se você quiser propriedade total da sua marca OAuth e tela de consentimento. O caminho gerenciado (Unipile) faz sentido quando você precisa lançar agora, evitar o limite de 100 usuários ou adiar o custo CASA Tier 2. Esses caminhos não são mutuamente exclusivos - você pode criar com o Unipile hoje e executar sua própria certificação em paralelo, depois mudar para suas próprias credenciais (Bring Your Own Credentials) quando seu aplicativo for verificado.
Se o seu caso de uso for apenas para o Workspace (ferramentas internas, automação de RH, sem consentimento por usuário), a alternativa de servidor para servidor é uma conta de serviço com delegação em todo o domínio - veja nosso Conta de serviço do Gmail e guia DWD.
Nota de conformidade: Unipile é um intermediário técnico independente, não filiado, endossado ou patrocinado pelo Google. O cliente OAuth do Google da Unipile é certificado CASA Tier 2, permitindo que seus usuários autorizem o acesso ao Gmail sem ver o aviso de "aplicativo não verificado". Esta não é uma solução alternativa para a revisão de segurança do Google - a revisão ainda se aplica se você criar seu próprio aplicativo Google Cloud; a Unipile já a passou para as conexões que intermedia em seu nome. Os usuários podem revogar o acesso a qualquer momento através da página de permissões de sua Conta Google.
Teste agora no Unipile's chave certificada, certifique em paralelo, alterne quando estiver pronto
Você não precisa escolher entre enviar rapidamente e possuir suas credenciais do Google. A Unipile atua como um intermediário técnico independente - seu cliente Google OAuth já possui certificação CASA Nível 2 - para que seus usuários nunca vejam o aviso de aplicativo não verificado e não haja limite de 100 usuários. Execute sua própria verificação de aplicativo do Google em paralelo e, em seguida, alterne para suas próprias credenciais (Traga suas próprias credenciais) a qualquer momento. Aqui está a jornada de 3 etapas.
Teste a chave certificada — envio em poucos minutos
Crie uma conta gratuita no Unipile e gere uma chave de API. Use o endpoint de autenticação hospedado para gerar um URL de um link para cada usuário. Redirecione seu usuário para esse URL - a tela de consentimento do Google OAuth do Unipile (já certificada no nível CASA Tier 2) cuida da autorização. Seu usuário nunca verá um aviso de "aplicativo não verificado".
Quando a autorização for concluída, o Unipile enviará um webhook para o seu servidor com o ID da conta vinculada. A partir desse momento, seu aplicativo poderá ler, enviar e sincronizar o Gmail através da API unificada do Unipile - sem criar um único projeto do Google Cloud.
// Passo 1: gerar um URL de autenticação de link único para o seu usuário
const res = await fetch('https://api.unipile.com/api/v1/hosted/accounts', {
method: 'POST',
cabeçalhos: {
'X-API-KEY': process.env.UNIPILE_API_KEY,
'Content-Type': 'application/json'
},
body: JSON.stringify({
tipo: 'Google',
nome: 'usuário-456', // seu ID de usuário interno
expiraEm: '2027-01-01',
url_de_notificação: 'https://yourapp.com/webhooks/unipile'
})
});
const { url } = await res.json();
// Redireciona o usuário para `url` - A tela de consentimento certificada da Unipile cuida do resto.Execute sua própria verificação do Google OAuth em paralelo
Enquanto seu produto está no ar e os usuários estão ativos, inicie a configuração do seu próprio projeto no Google Cloud e envie seu aplicativo para verificação do aplicativo OAuth do Google. Siga a configuração de credenciais de 5 etapas acima. Se o seu aplicativo usa escopos restritos, inicie sua avaliação de autoatendimento de nível 2 do CASA por meio de um laboratório aprovado pelo Google.
Existe sem urgência Nesta etapa, enquanto estiver utilizando a chave certificada da Unipile, seus usuários não serão bloqueados, não receberão nenhum aviso e não haverá limite de usuários. Execute o processo no ritmo que for mais adequado para sua equipe: normalmente, de 2 a 4 semanas para âmbitos sensíveis e de 4 a 12 semanas se for necessário o CASA Nível 2.
Para orientação sobre a seleção de escopo, consulte nosso Guia de Escopos da API do Gmail - escolher escopos mínimos pode mudar você da trilha restrita (exigida pela CASA) para a trilha sensível (revisão livre), economizando tempo e custos.
Alterne para suas próprias credenciais (BYOC) - uma alteração de configuração
Depois que seu aplicativo do Google Cloud for verificado e você tiver seu próprio id_cliente e segredo_do_cliente, configure o Unipile para usar suas próprias credenciais OAuth para novas conexões de conta. Este é o modelo Bring Your Own Credentials (BYOC): o Unipile continua agindo como um intermediário técnico independente processar solicitações em nome de cada usuário autenticado, agora utilizando suas credenciais verificadas em vez da chave compartilhada.
Contas vinculadas existentes permanecem ativas. A mudança afeta apenas novas autorizações. Seus usuários verão o nome do seu aplicativo verificado na tela de consentimento, substituindo a tela com a marca Unipile. Você escolheu quando investir em verificação - não no primeiro dia, quando precisava lançar.
Microsoft é diferente: por que o Azure não precisa de uma revisão no estilo CASA
Se o seu aplicativo precisar acessar tanto o Gmail quanto o Outlook, a carga de verificação é assimétrica. A verificação de aplicativos via OAuth do Google — incluindo uma possível auditoria CASA de Nível 2 — aplica-se apenas ao Google. A abordagem do Microsoft Azure em relação ao registro de aplicativos e ao consentimento OAuth é arquitetonicamente diferente e não exige uma auditoria de segurança externa equivalente.
Qualquer aplicativo que solicite escopos sensíveis ou restritos do Gmail de usuários externos deve passar pela avaliação de segurança do Google. Escopos restritos também exigem CASA Nível 2.
- Aviso sobre aplicativos não verificados exibido aos usuários
- Limite rígido de 100 usuários até a verificação
- É necessário o CASA Nível 2 para âmbitos restritos (~$540-$1k autoatendimento)
- Revisão necessária ao adicionar novos escopos sensíveis
- Cronograma: 2-12+ semanas dependendo do nível de escopo
O Azure Active Directory (agora Microsoft Entra ID) usa um modelo de consentimento de administrador para escopos de alto privilégio. Não há requisito de auditoria no estilo CASA externa para escopos de acesso padrão de e-mail.
- Aviso de aplicativo não verificado para fluxos padrão
- Sem limite de usuário durante o desenvolvimento
- Nenhuma auditoria externa de segurança obrigatória
- Consentimento do administrador exigido para permissões em todo o tenant em tenants corporativos
- O Microsoft 365 abrange tanto o Outlook pessoal quanto o Exchange Online corporativo por meio do mesmo fluxo OAuth
Implicação prática para aplicativos com vários provedores: se você está construindo um produto que lê e-mails de contas Gmail e Outlook, o cronograma de verificação do seu aplicativo Google OAuth determina sua data de lançamento - não o da Microsoft. Este é um dos argumentos mais fortes para usar a API unificada da Unipile: ambos os provedores são tratados através de uma única integração, e a chave certificada da Unipile cobre o requisito CASA Tier 2 do Google de imediato, removendo-o inteiramente do seu caminho crítico.
Para um mergulho profundo no lado da Microsoft dessa equação - incluindo registro de aplicativo do Azure, fluxos de consentimento e acesso à API do Microsoft Graph - veja nosso Guia OAuth do Microsoft Graph.
Como a Unipile lida com seus dados
Unipile é um intermediário técnico independente. As três notas a seguir explicam exatamente como os dados fluem, o que a Unipile armazena e quais são suas responsabilidades como cliente - no contexto do Google OAuth e do acesso à API do Gmail.
O que o Unipile armazena — e o que ele não armazena
A Unipile não mantém um arquivo paralelo ou uma cópia independente dos dados de e-mail dos seus usuários. Quando sua aplicação solicita dados de e-mail através da API Unipile, a Unipile os recupera dos servidores do Google em nome do usuário autenticado e o retorna para sua aplicação. Os dados são estritamente limitados à sessão do usuário autenticado e às permissões que ele concedeu durante o fluxo OAuth. A Unipile não retém o conteúdo das mensagens além do necessário para atender à resposta da API.
Intermediário técnico independente - não um parceiro do Google
A Unipile opera como um intermediário técnico independente, agindo em nome de cada usuário autenticado que concedeu acesso através da tela de consentimento OAuth. A Unipile é não afiliado, endossado ou patrocinado pelo Google. Unipile não compartilha credenciais entre usuários - cada conta vinculada usa seus próprios tokens OAuth, com escopo para a autorização desse usuário. Seu aplicativo acessa os dados do Gmail apenas para usuários que concluíram explicitamente o fluxo OAuth e concederam as permissões solicitadas.
Aplicam-se os limites de taxa do Google — a decisão sobre o uso é sua
Unipile retransmite os limites de taxa e as restrições de cota da API Gmail do Google para sua aplicação. A API Gmail impõe cotas por usuário (por exemplo, 250 unidades de cota por segundo por usuário, 1.000.000.000 unidades de cota por dia por projeto). Unipile apresenta esses limites, mas não os substitui. Decisões sobre cadência de requisições, volume de dados e escopo de consentimento do usuário permanecem a decisão do lado do cliente. Você é responsável por garantir que o uso dos dados do Gmail pela sua aplicação esteja em conformidade com os Termos de Serviço da API do Google e com as expectativas de seus usuários, conforme divulgado em sua política de privacidade.
Para uma visão completa das capacidades da API de e-mail - incluindo envio, leitura e sincronização entre Gmail, Outlook e IMAP - consulte nosso Guia da API de E-mail.
Construir com UnipileGoogle OAuth para Desenvolvedores FAQ
Respostas às perguntas mais frequentes sobre a verificação de aplicativos via Google OAuth, credenciais da API do Gmail e OAuth gerenciado pelo Unipile.
Seu aplicativo precisa de verificação do app do Google OAuth se estiver configurado para Externo usuário digita na tela de consentimento do OAuth e solicita escopos restritos ou sensíveis do Gmail de usuários fora da sua organização do Google Workspace. Se o seu aplicativo solicita apenas escopos básicos (openid, e-mail, perfilou estiver definido como Interno, nenhuma verificação é necessária. Qualquer escopo que conceda acesso à caixa de correio de um usuário, como gmail.somente leitura, gmail.enviar, gmail.modificarou mail.google.com, é sensível ou restrita e aciona o requisito.
O prazo depende do nível de escopo que seu aplicativo utiliza. Verificação de marca (escopos não sensíveis): 2-3 dias úteis. Revisão de escopo sensível (gmail.enviar, gmail.somente leitura, gmail.modificar): normalmente de 2 a 4 semanas após a conclusão do seu envio. Casa Tier 2 + escopos sensíveis/restritos (mail.google.com): 4-12 semanas no total. Submissões incompletas, como ausência de política de privacidade, justificativas de escopo vagas ou domínios autorizados incompatíveis, reiniciam o prazo.
A própria avaliação de segurança do Google (para escopos sensíveis como gmail.enviar e gmail.somente leitura) é gratuito. A verificação da marca também é gratuita. Se o seu aplicativo usa escopos restritos (mail.google.com), você precisará de uma auditoria CASA Nível 2 por um laboratório aprovado pelo Google. O caminho de autoatendimento CASA Nível 2 para 2026 custa aproximadamente $540 a $1.000 em taxas de laboratório. A avaliação legada, acionada manualmente, anteriormente necessária para a mesma turma de escopo, custava $15.000 a $75.000 e essa trilha de legado ainda se aplica a alguns casos extremos e aplicativos antigos.
Você não pode pular a verificação do aplicativo Google para um aplicativo de produção que atende usuários externos com escopos sensíveis do Gmail. O limite de 100 usuários e o aviso de aplicativo não verificado se aplicam até que seu aplicativo seja verificado. As alternativas compatíveis são: definir seu aplicativo como Interno (se servir apenas aos usuários do seu próprio Workspace), use Chave OAuth Nível 2 CASA da Unipile enquanto sua própria verificação é executada em paralelo, ou solicite escopos não sensíveis que não acionem a verificação. A criação de vários projetos do Cloud para distribuir usuários entre eles é proibida pelas políticas do Google e pode resultar na suspensão da conta.
Ver Ponto de extremidade da API do Gmail gerenciado pela Unipile.O aviso de aplicativo não verificado da API do Gmail aparece quando sua tela de consentimento do OAuth está configurada como “Externa” e seu aplicativo solicita escopos sensíveis ou restritos do Gmail, mas ainda não concluiu o processo de verificação do Google. Ele é exibido para todos os usuários fora da sua lista de 100 usuários de teste. Para resolver isso: envie seu aplicativo para Verificação do aplicativo OAuth do Google através do Google Cloud Console, ou crie com a chave OAuth pré-verificada e certificada CASA Tier 2 da Unipile. Os usuários que se conectam através do fluxo de autenticação hospedado pela Unipile nunca veem este aviso.
CASA Nível 2 (Avaliação de Segurança de Aplicativos em Nuvem) é uma auditoria de segurança independente exigida pelo Google para aplicativos que solicitam escopos restritos, principalmente https://mail.google.com/, que concede acesso total ao Gmail em nível de IMAP. É realizado por um laboratório aprovado pelo Google. Em 2026, um caminho de autoatendimento estará disponível em aproximadamente $540 a $1.000. Você só precisa do CASA Tier 2 se seu aplicativo solicitar o mail.google.com escopo de usuários externos. Se você usar apenas escopos sensíveis (gmail.enviar, gmail.somente leitura, gmail.modificar), o CASA Tier 2 não é necessário. Em vez disso, aplica-se a avaliação de segurança gratuita padrão do Google.
A Chave de API do Gmail é para solicitações públicas e não específicas do usuário e não concede acesso à caixa de correio de nenhum usuário. Credenciais OAuth da API do Gmail (id_cliente + segredo_do_cliente) são usadas para obter autorização por usuário para acessar os dados do Gmail em nome deles. Para qualquer recurso que leia, envie ou modifique o e-mail de um usuário, você precisa de credenciais OAuth, não de uma chave de API. Para uma comparação detalhada, consulte nossa Guia comparativo entre a chave de API do Gmail e o OAuth.
Ainda tem dúvidas sobre a verificação de apps OAuth do Google ou sobre o OAuth do Gmail gerenciado? Nossa equipe está à disposição para ajudar.
Fale com um especialista