Nu bouwen

Google OAuth-verificatie en Gmail API-gegevens (2026)

Google OAuth voor Ontwikkelaars - Gids 2026

Google OAuth Verificatie & Gmail API-gegevens

Stap-voor-stap: maak Gmail API OAuth-referenties aan, doorloop de Google app-verificatie en CASA Tier 2 review - of ga vandaag nog aan de slag met Unipile's reeds gecertificeerde OAuth-sleutel en certificeer uw eigen later.

Bouw met Unipile - gratis Bekijk documenten
gehoste-auth.js
// Sla de Google Cloud-setup volledig over.// De gecertificeerde OAuth-sleutel van Unipile regelt dit. const response = wacht op fetch('https://api.unipile.com/api/v1/hosted/accounts', { method: POST, headers: { 'X-API-KEY': process.env.UNIPILE_API_KEY, 'Content-Type': "toepassing/json }, body: JSON.stringify({ type: 'GOOGLE', naam: 'gebruiker-123', verlooptOp: '2026-12-31' })}); const { url } = wacht op antwoord.json();// Stuur uw gebruiker door naar de `url` - klaar.
Google-account gekoppeld via Unipile gecertificeerde sleutel
Belangrijkste punten
Wat je moet weten voordat je met de Gmail API gaat bouwen
De Gmail API activeert altijd Google-verificatie. Het gebruikt gevoelige of beperkte scopes - er bestaat geen oplossing voor productie-apps die externe gebruikers bedienen.
Verificatie duurt 2 tot 8 weken. Een CASA Tier 2-beoordeling kost ongeveer 1.454–1.410 euro per jaar via zelfbedieningslaboratoria, en tot 1.415–1.475 euro via het traditionele traject.
Voordat u wordt geverifieerd, zien gebruikers het scherm "niet-geverifieerde app" en je hebt een maximum van 100 testgebruikers.
Met Unipile kunt u vandaag nog verzenden naar echte gebruikers op basis van een reeds CASA Tier 2-gecertificeerde Google OAuth-client, die optreedt als onafhankelijke technische tussenpersoon namens elke geauthenticeerde gebruiker.
Voer uw eigen Google + CASA-verificatie parallel uit, schakel vervolgens over naar uw eigen referenties (BYOC) het is een enkele configuratiewijziging.
Google OAuth 2.0 begrijpen

Wat Google OAuth-verificatie daadwerkelijk is

Google OAuth-verificatie is het formele goedkeuringsproces waarbij Google bevestigt dat uw toepassing omgaat met gebruikersgegevens in overeenstemming met zijn beleid. Totdat uw app deze beoordeling heeft doorstaan, wordt deze als niet-geverifieerd beschouwd - wat betekent dat gebruikers een waarschuwingsscherm zien en u beperkt bent tot maximaal 100 testgebruikers. De beoordeling is verplicht wanneer uw app gevoelige of beperkte Gmail API-scopes van externe (niet-interne) gebruikers aanvraagt.

Gevoelige bereiken: wat ze zijn

Gevoelige scopes stellen uw app in staat om gebruikersgegevens te lezen of te wijzigen die verder gaan dan basisprofielinformatie. Voor Gmail omvatten deze:

  • gmail.alleenlezen - lees alle berichten
  • gmail.verzenden - e-mail verzenden namens gebruiker
  • gmail-aanpassen lezen, opstellen, archiveren
  • mail.google.com volledige toegang (beperkt)

Gevoelige scopes vereisen een Google-beveiligingsbeoordeling. Beperkte scopes (zoals volledige IMAP-toegang) vereisen bovendien een CASA Tier 2-audit. Zie de volledige scope-referentie in onze Gmail API Scopes Gids.

Waarom triggert de Gmail API het altijd

In tegenstelling tot het standaard aanmeldingsproces van Google (waarbij alleen profielgegevens worden opgevraagd), vraagt de Gmail API altijd om scopes die toegang verlenen tot de inhoud van de mailbox van een gebruiker. Google beschouwt elke machtiging op mailboxniveau per definitie als gevoelig.

Dit betekent dat elke ontwikkelaar die de Gmail API wil gebruiken voor externe gebruikers, Google OAuth app-verificatie moet doorlopen - er is geen versie van de Gmail API die deze vereiste omzeilt voor productiegebruik.

Weet u niet zeker of u OAuth-referenties of een eenvoudige API-sleutel nodig hebt? Lees onze Gmail API-sleutel vs. OAuth-handleiding.

Belangrijkste onderscheid: De Google OAuth-verificatie is geen eenmalige handeling. Als je nieuwe scopes toevoegt aan een app die al is geverifieerd, moet je de app opnieuw ter beoordeling indienen voor die extra scopes. Stel je scopestrategie vast voordat je met het proces begint – dat bespaart je weken tijd.

Overslaan van verificatie
Voordat je begint
Wat u nodig heeft voor Gmail API-referenties
Een Google-account met toegang tot de Google Cloud Console. Elke Google-account werkt; een Google Workspace-account is vereist als je van plan bent het app-type in te stellen op Intern.
Een openbaar toegankelijke URL met het privacybeleid en een pagina met de gebruiksvoorwaarden. Het beoordelingsteam van Google controleert of deze URL’s actief zijn en een juiste weergave geven van hoe u Gmail-gegevens gebruikt. Een ontbrekend of niet-werkend privacybeleid is de meest voorkomende reden voor afwijzing.
De URL van de startpagina van uw app, de naam en het logo. Deze worden direct weergegeven op het OAuth-toestemmingsscherm dat gebruikers zien bij het autoriseren van uw app. Geautoriseerde domeinen moeten exact overeenkomen met uw startpagina-domein.
De lijst met Gmail scopes die je app daadwerkelijk nodig heeft. Plan met het principe van minimale privileges - het later toevoegen van beperkte bereiken vereist een volledige herziening. Zie onze Gmail API Scopes Guide voor de volledige referentie.
Een schatting van je verwachte gebruikersvolume. De limiet van 100 testgebruikers is van kracht zodra je app gevoelige scopes gebruikt. Als je verwacht vóór de voltooiing van je verificatie meer dan 100 gebruikers te bereiken, plan dan een overbruggingsoplossing.

Weken van verificatie.
Gebruik Unipile's sleutel en begin nu.

Mis geen klanten door te wachten op Google's beoordeling. Koppel Gmail-accounts in 5 minuten met onze vooraf geverifieerde ontwikkelaarsgegevens.

Gebruik Unipile's Google Key
SOC 2 - AVG - Geen app-beoordeling nodig
CASA Tier 2 Gecertificeerd
connect-gmail.shkrul
# Geen Google Cloud Console. Geen beoordeling.#: koppel elk Gmail-account binnen 5 minuten. krul -X POST "https://api.unipile.com/v1/accounts" \ -H ""X-API-KEY: $UNIPILE_KEY"" \ -d '{ "provider": "GOOGLE_OAUTH", "gebruik_unipile_credentials": true }'
OAuth Credentials instellen

Gmail API-gegevens verkrijgen: stap voor stap

Het verkrijgen van Gmail API OAuth-gegevens vereist zes afzonderlijke stappen in de Google Cloud Console. Hier is de volledige reeks - van het aanmaken van je project tot het hebben van een werkende klant_id en cliënt_geheim.

Snelle samenvatting: 6 stappen voor Gmail API OAuth-credentials
  1. Maak een Google Cloud-project - uw geïsoleerde facturerings- en API-container.
  2. Schakel de Gmail API in - activeer de API in de API-bibliotheek voor uw project.
  3. Configureer het OAuth-toegelaten scherm - kies app-type (extern vs intern), vul appnaam, support-e-mailadres en geautoriseerde domeinen in.
  4. Tel bereiken op - selecteer de Gmail-scopes die uw app nodig heeft; dit bepaalt of een beveiligingsbeoordeling vereist is.
  5. Maak een OAuth-client-ID - kies applicatietype (Web, Desktop, of iOS/Android) en registreer uw redirect URI's.
  6. Ter verificatie indienen - als uw app extern is en gevoelige bereiken gebruikt, dient u deze in via de verificatieportal van Google.
01
Maak een Google Cloud-project

Ga naar console.cloud.google.com, klik op de projectkiezer in de bovenste navigatiebalk en selecteer "Nieuw project". Geef het een naam die uw product weerspiegelt - deze naam verschijnt op het OAuth-scherm dat gebruikers zien.

Schakel facturering voor het project in, zelfs als u verwacht binnen de gratis quota te blijven. Voor veel API’s (waaronder Gmail) moet er een factureringsaccount aan worden gekoppeld voordat ze kunnen worden geactiveerd, zelfs bij $0-gebruik.

Google Cloud Console - Interface voor het maken van een nieuw project Google Cloud Console: maak een nieuw project aan via de projectkiezer in de bovenste navigatiebalk.

Navigeer in de Google Cloud Console naar "API's en services" > "Bibliotheek". Zoek naar "Gmail API" en klik op "Inschakelen". U wilt waarschijnlijk ook de Google People API inschakelen als u contactgegevens naast e-mail nodig hebt.

Nadat de Gmail API is ingeschakeld, verschijnt deze in uw "Ingeschakelde API's" dashboard. API-aanroepen zonder geldige gegevens zullen een 403 toegangNietGeconfigureerd fout zelfs in dit stadium - aanmeldingen volgen daarna.

Google API-bibliotheek - de Gmail API inschakelen voor een Cloud-project Google API Bibliotheek: zoek naar "Gmail API" en klik op Activeren om deze in te schakelen voor uw project.

Ga naar "APIs en services" > "OAuth-instelscherm". Kies je gebruikerstype:

  • Intern - alleen gebruikers binnen uw Google Workspace-organisatie. Geen verificatie vereist.
  • Extern - Elk Google-account. Verificatie vereist voor gevoelige/beperkte bereiken buiten 100 testgebruikers.
OAuth-toestemmingsscherm - gebruikerstype kiezen: Intern of Extern OAuth-toestemmingsscherm: kies Interne (alleen Workspace) of Externe (elk Google-account) als uw gebruikerstype.

Vul de App-naam, E-mailadres voor gebruikersondersteuning en E-mailadres van de ontwikkelaar in. Deze velden verschijnen op het toestemmingsscherm dat gebruikers zien wanneer ze uw app autoriseren. Voeg uw geautoriseerde domein toe (het domein van uw startpagina en privacybeleid-URL).

Voor een gerichte rondleiding door elk veld, de limiet van 100 gebruikers en de keuze tussen Intern en Extern, zie onze Gids voor het instellen van een toestemmingsscherm.

OAuth-scherm voor toestemming - App-informatievelden: appnaam, logo, ondersteunings-e-mailadres App-informatie: vul de app-naam, het logo en het ondersteunings-e-mailadres in zoals ze op het toestemmingsscherm moeten verschijnen.
OAuth-scherm voor toestemming - Sectie App-domein: startpagina, privacybeleid, servicevoorwaarden App-domein: geef live URL's op voor uw startpagina, privacybeleid en gebruiksvoorwaarden. Het beoordelingsteam van Google controleert deze.
OAuth-toestemmingsscherm - Geautoriseerde domeinen configuratie Geautoriseerde domeinen: voeg het hoofd-domein van uw app toe. Alleen URI's van dit domein kunnen als omleidings-URI's worden gebruikt.
OAuth-verleen toestemmingsscherm - Velden voor contactgegevens van de ontwikkelaar Contactgegevens van de ontwikkelaar: Google gebruikt dit e-mailadres om u op de hoogte te stellen van wijzigingen in de verificatiestatus van uw app.

Tip: Het gedeelte "App-domein" accepteert meerdere koppelingen (startpagina, privacybeleid, servicevoorwaarden). Het verificatieteam van Google controleert of deze URL's live zijn en de scopes weergeven die u aanvraagt. Een ontbrekende of defecte URL voor het privacybeleid is een van de meest voorkomende redenen voor afgekeurde verificaties.

Klik in de configuratie van het toestemmingsscherm op "Bereiken toevoegen of verwijderen". Gebruik het filter om Gmail-bereiken te zoeken. Het bereik dat u kiest, heeft een directe invloed op uw verificatiesectie:

  • gmail.verzenden of gmail.alleenlezen - gevoelig, vereist beveiligingsbeoordeling.
  • gmail-aanpassen of mail.google.com - beperkt, vereist ook CASA Tier 2.
  • openid e-mailadres profiel enkel - geen verificatie nodig (basis aanmelding).
OAuth-toestemmingsscherm - Paneel Scopes toevoegen of verwijderen met Gmail API-machtigingen Scopes Toevoegen of Verwijderen: selecteer de Gmail-bereiken die uw app nodig heeft. De selectie van bereiken bepaalt rechtstreeks uw verificatietraject.

Select het planningsbereik zorgvuldig. Het toevoegen van een beperkt bereik betekent later het opnieuw indienen van de gehele app voor een aanvullende CASA Tier 2 beoordeling. Raadpleeg voor het volledige bereik en welke API's elk bereik ontgrendelt onze Gmail API Scopes Gids.

Ga naar "API's en services" > "Referenties" > "Referenties maken" > "OAuth-client-id". Selecteer uw toepassings type:

  • Webtoepassing - voor server-side apps. Registreer uw redirect URIs (bijv. https://yourapp.com/oauth/callback).
  • Desktop-app - voor geïnstalleerde applicaties. Gebruikt loopback-omleiding.
  • iOS / Android - mobiele apps, maken gebruik van aangepaste URI-schema's.
Google Cloud Console-gegevens - een OAuth-client-ID maken Credentials paneel: selecteer "OAuth Client ID" om de client_id en client_secret te genereren die uw app nodig heeft.

Na het aanmaken, download het JSON-credentialsbestand. Het bevat uw klant_id, cliënt_geheim, en geregistreerde omleidings-URI's. Sla het veilig op – commit het nooit naar source control.

Voor een diepgaande analyse van het verschil tussen dit credential-type en een simpele API-sleutel, zie onze Gmail API Sleutel versus OAuth-referenties gids.

Toegangstokens en vernieuwingstokens: wanneer een gebruiker de OAuth-stroom voltooit, ontvang je een kortstondige toegangstoken (geldig ~1 uur) en een vernieuwingstoken (langdurig, server-side opgeslagen). Je server gebruikt de refresh token om nieuwe access tokens te verkrijgen zonder de gebruiker opnieuw te hoeven vragen. Vraag altijd access_type=offline en toestemming bij de eerste autorisatie om de refresh token te ontvangen. Sla refresh tokens versleuteld op.

Voor een breder overzicht van hoe OAuth past in e-mail-API-architectuur - inclusief synchronisatiestrategieën en leveranciersverschillen - zie onze OAuth E-mail API-handleiding.

Gebruik de sleutel van Unipile
Gmail API Ongeautoriseerde App Waarschuwing

De waarschuwing "Deze app is niet geverifieerd", de limiet van 100 gebruikers en de vrijstellingen

Voordat uw app Google OAuth-appverificatie doorstaat, ziet elke gebruiker die probeert deze te autoriseren een waarschuwingsscherm. Google hanteert ook een strikte limiet van 100 gebruikers voor niet-geverifieerde externe apps. Dit is precies wat dit betekent en wanneer het niet van toepassing is.

Wat gebruikers zien voor verificatie

Het scherm toont: "Deze app is niet geverifieerd. Deze app is niet geverifieerd door Google. Mogelijk vraagt de app toegang tot gevoelige informatie. Meer informatie over de risico's." Gebruikers moeten op "Geavanceerd" klikken en vervolgens op "Doorgaan naar [App Naam] (onveilig)" om verder te gaan. De meeste niet-technische gebruikers zullen hier stoppen - dit is de werkelijke prijs van het overslaan of uitstellen van verificatie.

Wanneer Google OAuth-appverificatie NIET vereist is

Vrijgesteld

Alleen voor intern gebruik

Als u uw OAuth-conceptscherm instelt op "Intern" en uw app alleen gebruikers binnen uw eigen Google Workspace-organisatie bedient, is er geen verificatie vereist, ongeacht welke bereiken u aanvraagt. Dit is de snelste weg voor interne tooling.

Vrijgesteld

Testmodus (minder dan 100 gebruikers)

Een niet-geverifieerde externe app kan via de Google Cloud Console worden toegevoegd aan maximaal 100 testgebruikers. Die specifieke gebruikers kunnen de app autoriseren zonder een harde blokkering te zien - ze zien de waarschuwing, maar kunnen doorgaan. Handig voor ontwikkeling en private bèta met een klein team.

Vrijgesteld

Enkel basisbereiken

Als uw app alleen niet-gevoelige scopes aanvraagt (openid, email, profile - basis Google Sign-In), is er geen verificatie nodig, zelfs niet voor externe gebruikers op elke schaal. Verificatie wordt specifiek geactiveerd door gevoelige en beperkte scopes.

Belangrijk kader: De bedoeling van de limiet van 100 gebruikers en het waarschuwingsscherm is om gebruikers te beschermen terwijl een app wordt beoordeeld. De juiste reactie op het bereiken van de limiet is om uw app in te dienen voor Google OAuth-appverificatie - niet om meerdere Google Cloud-projecten aan te maken om gebruikers over verschillende projecten te verspreiden. Google verbiedt deze aanpak expliciet en dit kan leiden tot schorsing van uw ontwikkelaarsaccount. Het nalevingspad is ofwel het verifiëren van uw app of het gebruik van een platform dat al een geverifieerde OAuth-sleutel biedt, zoals Unipile.

Sla de 100-gebruikerslimiet over
Google App Verificatietijd

Google app-verificatie: tijdlijn en kosten in 2026

Google app-verificatie is geen eenduidig proces - het heeft drie afzonderlijke trajecten, afhankelijk van welke scopes uw app aanvraagt. Elk traject heeft zijn eigen tijdlijn en kosten. Dit is wat u in 2026 kunt verwachten.

Merkverificatie 2-3 werkdagen

Als uw app alleen niet-gevoelige scopes gebruikt (basis Google Sign-In), kan Google nog steeds merkverificatie vereisen om de identiteit van uw app en het domein van de startpagina te bevestigen. Dit is doorgaans een proces van 2-3 werkdagen zonder kosten, behalve uw tijd.

Je zult domeineigendom moeten verifiëren via Google Search Console en ervoor zorgen dat je OAuth-toestemmingsscherm je app nauwkeurig beschrijft.

Gevoelige scopes (gmail.send, gmail.readonly, gmail.modify) 2-4 weken

Apps die gevoelige Gmail-scopes aanvragen, moeten door Google's volledige beveiligingsbeoordeling gaan. Het team van Google beoordeelt de praktijken van uw app voor gegevensbehandeling, het privacybeleid en de rechtvaardiging voor elke scope die u aanvraagt.

Typische doorlooptijd is 2-4 weken wanneer uw inzending voltooid is. Onvolledige inzendingen (ontbrekend privacybeleid, vage reikweidteverantwoordingen, niet-overeenkomende geautoriseerde domeinen) starten de klok opnieuw. Google kan tijdens deze periode een demo of aanvullende documentatie aanvragen.

CASA Tier 2 - beperkte bereiken (mail.google.com) 4-12 weken

Apps die beperkte scopes aanvragen - voornamelijk https://mail.google.com/ (volledige IMAP-toegang) - moet voltooien een CASA Tier 2 beveiligingsbeoordeling Naast de eigen beoordeling van Google. CASA (Cloud Application Security Assessment) is een onafhankelijke veiligheidsaudit uitgevoerd door een door Google goedgekeurd laboratorium.

In 2026 biedt Google een self-service CASA Tier 2 pad via goedgekeurde laboratoria, doorgaans kostend $540-$1.000 (labkosten voor geautomatiseerd scannen). Dit is een aanzienlijke verbetering ten opzichte van de oude methode. De oudere, handmatig aangestuurde beveiligingsbeoordeling die voorheen door Google vereist werd voor dezelfde reikwijdteklasse kostte $15.000–$75.000 en duurde maanden - dat legacy track is nog steeds van toepassing op sommige grootvaderde apps en enterprise-randgevallen. Controleer bij het budgetteren met uw gekozen lab welk track op uw app van toepassing is.

Totale tijdlijn inclusief Google's eigen beoordeling na CASA: 4-12 weken van eerste inzending tot goedkeuring.

Kostenoverzicht: Google OAuth app-verificatie in 2026

Verificatiespoor Scope niveau Tijdlijn Kosten
Merkverificatie Niet-gevoelig (openid, e-mail, profiel) 2-3 werkdagen Gratis
Beveiligingsbeoordeling Gevoelig (gmail.send, gmail.readonly, gmail.modify) 2-4 weken Gratis
CASA Niveau 2 (zelfservice, 2026) Beperkt (mail.google.com) 4-8 weken ~$540-$1.000
CASA Niveau 2 (verouderde handleiding, vóór 2025) Beperkt (mail.google.com) 8-12+ weken $15k-$75k

Bronnen: Google OAuth 2.0 Beleid (developers.google.com) en Google Cloud - Verificatie van OAuth-apps (support.google.com). De prijzen voor CASA Tier 2 Self-Service zijn gebaseerd op de goedgekeurde laboratoriumtarieven per het eerste kwartaal van 2026 en kunnen variëren per laboratorium en het aantal app-scopes. Het oude $15k-$75k-traject gold voor apps die het eerdere verplichte programma voor beveiligingsbeoordeling door leveranciers van Google hadden doorlopen, voordat de CASA Self-Service-optie beschikbaar kwam.

Sla het wachten over
Probleemoplossing

Veelvoorkomende Google OAuth-fouten waar je tegenaan zult lopen

Wanneer je je eigen Google Cloud-project beheert, komen er tijdens de ontwikkeling en na de livegang een paar fouten herhaaldelijk voor. Hier is een snelle referentie voor de zes meest voorkomende.

redirect_uri_ongelijk

De omleidings-URI in uw verzoek komt niet exact overeen met een geregistreerde URI in de Google Cloud Console (protocol, afsluitende schuine streep en poort spelen allemaal een rol).

Fout 400: adm-beleid-afgedwongen

De Google Workspace-beheerder van de gebruiker heeft apps van derden met OAuth geblokkeerd of specifieke bereiken beperkt die uw app aanvraagt.

toegang_geweigerd / "Deze app is geblokkeerd"

Uw app gebruikt gevoelige of beperkte scopes, maar heeft het verificatieproces van Google niet voltooid, dus Google blokkeert toestemming voor nieuwe gebruikers.

ongeldige_verlening

De vernieuwingstoken is verlopen of ingetrokken (gebruiker heeft wachtwoord gewijzigd, toegang ingetrokken, of de token is 6 maanden inactief geweest). De gebruiker moet opnieuw authenticeren.

OAuth-scherm voor toestemming wordt niet weergegeven

Het toestemmingsscherm is verkeerd geconfigureerd in de Google Cloud Console: verkeerd gebruikerstype (Intern vs Extern), ontbrekende testgebruikers of de app is nog in conceptstatus.

ongeldige_scope

Een scope-string bevat een typefout, of de bijbehorende API (bijv. Gmail API) is niet ingeschakeld in de Google Cloud Console voor uw project.

Heeft u de volledige diagnose nodig? Elke van deze fouten heeft een specifieke oplossing. Zie onze volledige gids voor Veelvoorkomende Google OAuth- en Gmail API-fouten en hoe u ze kunt oplossen.

Wanneer OAuth door Unipile wordt afgehandeld, een onafhankelijke technische tussenpersoon die namens elke geauthenticeerde gebruiker optreedt, worden deze fouten beheerd op API-niveau. Unipile is al CASA Tier 2 gecertificeerd, dus de verificatiehobbels worden één keer afgehandeld, niet één keer per project.

Weken van verificatie.
Gebruik Unipile's sleutel en begin nu.

Mis geen klanten door te wachten op Google's beoordeling. Koppel Gmail-accounts in 5 minuten met onze vooraf geverifieerde ontwikkelaarsgegevens.

Gebruik Unipile's Google Key
SOC 2 - AVG - Geen app-beoordeling nodig
CASA Tier 2 Gecertificeerd
connect-gmail.shkrul
# Geen Google Cloud Console. Geen beoordeling.#: koppel elk Gmail-account binnen 5 minuten. krul -X POST "https://api.unipile.com/v1/accounts" \ -H ""X-API-KEY: $UNIPILE_KEY"" \ -d '{ "provider": "GOOGLE_OAUTH", "gebruik_unipile_credentials": true }'
Beheerde Gmail OAuth

Google OAuth, vereenvoudigd: doe-het-zelf versus beheerd - direct publiceren of weken wachten?

Als uw app Gmail-toegang nodig heeft voor externe gebruikers, heeft u twee opties: uw eigen Google Cloud-project beheren dat het volledige Google OAuth-appverificatieproces doorloopt (6-12 weken), of bouwen op een platform dat al een CASA Tier 2-gecertificeerde OAuth-sleutel heeft (1-2 dagen). Hier ziet u hoe elke weg eruitziet - en waarom ze niet wederzijds exclusief zijn.

Doe-het-zelf Google OAuth Complex
1
Google Ontwikkelaarsconsole Project aanmaken
2
OAuth-toestemmingsscherm configureren
3
OAuth-scopes beheren
4
Logica voor het vernieuwen van tokens bouwen
5
Demo Video Opnemen
6
Indienen voor Google Verificatie 2-8 weken
7
CASA Veiligheidsbeoordeling ~$540-$1k/jaar (zelfbedieningslab) of $15k-$75k (oude traject)
8
Jaarlijkse Her certificering
Totale tijd tot productie: 6-12 weken
Met Unipile Eenvoudig
1
Registreren en API-token ontvangen 5 min
2
Gebruik Gehoste Auth Link Nu
3
Begin met verzenden en ontvangen 1-2 dagen
CASA Tier 2 Gecertificeerd Unipile's OAuth-sleutel - onafhankelijke technische tussenpersoon
Unipile heeft CASA Tier 2 al gehaald - geen beoordeling van uw kant voor via Unipile bemiddelde verbindingen
Via Unipile's gecertificeerde sleutel toegang krijgen tot beperkte Gmail-scopes terwijl u uw eigen beoordeling parallel uitvoert
Geen jaarlijkse hercertificeringslasten aan uw zijde voor door Unipile bemiddelde verbindingen
Kant-en-klare compliance vanaf dag één - uw eigen CASA-beoordeling kan parallel naar eigen tempo plaatsvinden
Totale tijd tot productie: 1-2 dagen

De strategische lezing: Het doe-het-zelfpad is lange termijn zinvol als je volledige eigendom wilt van je OAuth-merk en je toestemmingsscherm. Het beheerde pad (Unipile) is zinvol als je direct wilt leveren, de limiet van 100 gebruikers wilt vermijden of de CASA Tier 2-kosten wilt uitstellen. Deze paden sluiten elkaar niet uit - je kunt vandaag nog op Unipile bouwen en parallel je eigen certificering uitvoeren, en vervolgens overschakelen naar je eigen referenties (Bring Your Own Credentials) wanneer je app is geverifieerd.

Als uw use case Workspace-only is (interne tooling, HR-automatisering, geen toestemming per gebruiker), is het server-naar-server alternatief een serviceaccount met Domain-Wide Delegation - zie onze Gmail serviceaccount & DWD gids.

Wil je een volledige white-label ervaring? Zodra uw eigen Google Cloud-app is geverifieerd, configureert u Unipile om uw eigen OAuth-gegevens te gebruiken. Uw gebruikers zien uw toestemmingsscherm, uw merk, uw Google-project - Unipile blijft optreden als een onafhankelijke technische tussenpersoon verwerken van verzoeken namens elke geauthenticeerde gebruiker, nu met je geverifieerde inloggegevens in plaats van de gedeelde sleutel.
Nu Bouwen - gratis proefversie

Compliance-opmerking: Unipile is een onafhankelijke technische tussenpersoon, niet gelieerd aan, goedgekeurd door of gesponsord door Google. Unipile's Google OAuth-client is CASA Tier 2 gecertificeerd, waardoor uw gebruikers toegang tot Gmail kunnen autoriseren zonder een "onverifieerde app"-waarschuwing te zien. Dit is geen omzeiling van Google's beveiligingsbeoordeling - de beoordeling is nog steeds van toepassing als u uw eigen Google Cloud-app bouwt; Unipile heeft deze al doorstaan voor de verbindingen die het namens u regelt. Gebruikers kunnen de toegang op elk moment intrekken via hun Google Account-machtigingenpagina.

3-Stappenreis

Test nu op Unipile's ervaren sleutel, parallel certificeren, schakelen wanneer klaar

U hoeft niet te kiezen tussen snel verzenden en uw Google-gegevens bezitten. Unipile fungeert als een onafhankelijke technische tussenpersoon - zijn Google OAuth-client is reeds CASA Tier 2 gecertificeerd - zodat uw gebruikers nooit de waarschuwing voor niet-geverifieerde apps zien en er geen limiet van 100 gebruikers is. Voer uw eigen Google-appverificatie parallel uit en schakel vervolgens op elk moment over op uw eigen gegevens (Bring Your Own Credentials). Hier is de reis van 3 stappen.

1

Test op de gecertificeerde sleutel - verzending binnen minuten

Maak een gratis Unipile-account aan en genereer een API-sleutel. Gebruik het gehoste authenticatie-eindpunt om voor elke gebruiker een one-link URL te genereren. Stuur uw gebruiker door naar die URL - het Google OAuth-verlichtingsscherm van Unipile (reeds CASA Tier 2 gecertificeerd) handelt de autorisatie af. Uw gebruiker ziet nooit een "niet-geverifieerde app"-waarschuwing.

Wanneer de autorisatie is voltooid, stuurt Unipile een webhook naar uw server met de ID van het gekoppelde account. Vanaf dat moment kan uw app Gmail lezen, verzenden en synchroniseren via de unificatie-API van Unipile. zonder ook maar één Google Cloud project te creëren.

stap1-gehoste-auth.js
// Stap 1: genereer een one-link authenticatie-URL voor uw gebruiker const res = wacht op fetch('https://api.unipile.com/api/v1/hosted/accounts', { method: POST, headers: { 'X-API-KEY': process.env.UNIPILE_API_KEY, 'Content-Type': "toepassing/json }, body: JSON.stringify({ type: 'GOOGLE', naam: 'gebruiker-456', // je interne gebruikers-ID verlooptOp: '2027-01-01', notify_url: 'https://jouwapp.com/webhooks/unipile' }) }); const { url } = wacht op res.json(); // Verwijs de gebruiker door naar `url` - Unipile's gecertificeerde toestemmingsscherm regelt de rest.
Gebruiker gekoppeld - account_id geretourneerd via webhook
2

Voer uw eigen Google OAuth-verificatie parallel uit

Terwijl uw product live is en gebruikers actief zijn, start u uw eigen Google Cloud-projectsetup en dient u uw app in voor Google OAuth-appverificatie. Volg de bovenstaande 5-staps verificatie-instelling. Als uw app beperkte bereiken gebruikt, start u uw CASA Tier 2 self-service beoordeling via een door Google goedgekeurd laboratorium.

Er is geen haast naar deze stap terwijl u op de gecertificeerde sleutel van Unipile bent - uw gebruikers worden niet geblokkeerd, ze zien geen waarschuwing en er is geen gebruikerslimiet. Voer het proces uit in het tempo dat het beste bij uw team past: doorgaans 2-4 weken voor gevoelige scopes, 4-12 weken als CASA Tier 2 nodig is.

Raadpleeg ons voor begeleiding bij de selectie van de reikwijdte Gmail API Scopes Gids - het kiezen van minimale scopes kan u van het beperkte (door CASA vereiste) traject naar het gevoelige (gratis beoordelings) traject verplaatsen, wat tijd en kosten bespaart.

3

Schakel over naar uw eigen credentials (BYOC) - één configuratiewijziging

Zodra uw Google Cloud-app is geverifieerd en u uw eigen klant_id en cliënt_geheim, configure Unipile om uw eigen OAuth-referenties te gebruiken voor nieuwe accountverbindingen. Dit is het Bring Your Own Credentials (BYOC)-model: Unipile blijft optreden als een onafhankelijke technische tussenpersoon verzoeken verwerken namens elke geauthenticeerde gebruiker, waarbij nu gebruik wordt gemaakt van uw geverifieerde inloggegevens in plaats van de gedeelde sleutel.

Bestaande gekoppelde accounts blijven actief. De schakelaar heeft alleen invloed op nieuwe autorisaties. Uw gebruikers zien uw geverifieerde appnaam op het toestemmingsscherm, ter vervanging van het scherm met het Unipile-merk. U koos zelf wanneer u in verificatie wilde investeren - niet op dag één, toen u moest leveren.

Start met bouwen - gratis account Lees de documentatie over hosted authenticatie
Microsoft OAuth

Microsoft is anders: waarom Azure geen beoordeling in CASA-stijl nodig heeft

Als uw toepassing zowel toegang nodig heeft tot Gmail als tot Outlook, is de verificatie-inspanning asymmetrisch. Google OAuth app-verificatie - inclusief een mogelijke CASA Tier 2-audit - is alleen van toepassing op Google. De aanpak van Microsoft Azure voor appregistratie en OAuth-toestemming is architecturaal anders en vereist geen equivalente externe beveiligingsaudit.

Google / Gmail - verificatie vereist

Elke app die gevoelige of beperkte Gmail-scopes aanvraagt van externe gebruikers, moet de beveiligingsbeoordeling van Google doorstaan. Beperkte scopes vereisen bovendien CASA Tier 2.

  • Waarschuwing voor niet-geverifieerde app weergegeven aan gebruikers
  • Harde 100-gebruikerslimiet tot geverifieerd
  • CASA Tier 2 vereist voor beperkte toepassingen (~$540-$1k zelfbediening)
  • Herbeoordeling vereist bij het toevoegen van nieuwe gevoelige bereiken
  • Tijdlijn: 2-12+ weken afhankelijk van de omvang tier
Microsoft / Outlook - geen CASA-equivalent

Azure Active Directory (nu Microsoft Entra ID) gebruikt een beheerdersgoedkeuringsmodel voor privileges met hoge rechten. Er is geen externe CASA-stijl auditvereiste voor standaard e-mailtoegangsscopings.

  • Geen waarschuwing voor niet-geverifieerde app voor standaardstromen
  • Geen gebruikerslimiet tijdens de ontwikkeling
  • Geen verplichte externe security audit
  • Beheerdersgoedkeuring vereist voor tenant-brede machtigingen in enterprise tenants
  • Microsoft 365 dekt zowel persoonlijke Outlook als de enterprise-versie van Exchange Online via dezelfde OAuth-stroom

Praktische implicatie voor apps met meerdere providers: Als u een product bouwt dat e-mails leest van zowel Gmail- als Outlook-accounts, bepaalt de verificatietijdlijn van uw Google OAuth-app uw lanceringsdatum - niet die van Microsoft. Dit is een van de sterkste argumenten voor het gebruik van de uniforme API van Unipile: beide providers worden afgehandeld via één enkele integratie, en de gecertificeerde sleutel van Unipile voldoet standaard aan de CASA Tier 2-vereiste van Google, waardoor deze volledig uit uw kritieke pad is.

Voor een diepgaande analyse van de Microsoft-kant van deze vergelijking - inclusief Azure appregistratie, toestemmingsstromen en toegang tot Microsoft Graph API - zie onze Microsoft Graph OAuth-gids.

Eén beheerde OAuth
Gegevensbeheer & Naleving

Hoe Unipile uw gegevens verwerkt

Unipile is een onafhankelijke technische intermediair. De volgende drie notities leggen precies uit hoe gegevens stromen, wat Unipile opslaat en wat uw verantwoordelijkheden zijn als klant - in de context van Google OAuth en Gmail API-toegang.

Gegevensverwerking Opmerking

Wat Unipile opslaat - en wat het niet doet

Unipile onderhoudt geen parallel archief of onafhankelijke kopie van de Gmail-gegevens van uw gebruikers. Wanneer uw applicatie e-mailgegevens opvraagt via de Unipile API, haalt Unipile deze van de servers van Google namens de geauthenticeerde gebruiker en geeft deze terug aan uw applicatie. Gegevens zijn strikt beperkt tot de sessie van de geauthenticeerde gebruiker en de machtigingen die deze heeft verleend tijdens de OAuth-stroom. Unipile bewaart de inhoud van berichten niet langer dan noodzakelijk is om aan de API-respons te voldoen.

Hoe Unipile Werkt

Onafhankelijke technische bemiddelaar - geen Google partner

Unipile opereert als een onafhankelijke technische tussenpersoon, handelend namens elke geauthenticeerde gebruiker die toegang heeft verleend via het OAuth-verificatiescherm. Unipile is niet verbonden met, goedgekeurd door of gesponsord door Google. Unipile deelt geen inloggegevens tussen gebruikers - elk gekoppeld account gebruikt zijn eigen OAuth-tokens, beperkt tot de autorisatie van die gebruiker. Uw applicatie heeft alleen toegang tot Gmail-gegevens voor gebruikers die de OAuth-flow expliciet hebben voltooid en de gevraagde machtigingen hebben verleend.

Platformlimieten en verantwoord gebruik

Google's snelheidslimieten zijn van toepassing - gebruiksbeslissingen zijn aan u

Unipile toont de limieten en quota-beperkingen van de Gmail API van Google door aan je applicatie. De Gmail API handhaaft limieten per gebruiker (bijv. 250 quotaworkingen per seconde per gebruiker, 1.000.000.000 quotaworkingen per dag per project). Unipile maakt deze limieten zichtbaar, maar overschrijft ze niet. Beslissingen over de frequentie van verzoeken, het datavolume en de scope van toestemming van de gebruiker blijven een beslissing aan klantzijde. U bent verantwoordelijk voor het waarborgen dat het gebruik van Gmail-gegevens door uw toepassing voldoet aan de API-gebruiksvoorwaarden van Google en de verwachtingen van uw gebruikers, zoals uiteengezet in uw privacybeleid.

Voor een compleet overzicht van de mogelijkheden van de e-mail API - inclusief verzenden, lezen en synchroniseren met Gmail, Outlook en IMAP - zie onze E-mail API-handleiding.

Bouwen met Unipile
Unipile - Google OAuth voor Ontwikkelaars FAQ

Google OAuth voor Ontwikkelaars FAQ

Antwoorden op de meest gestelde vragen over Google OAuth-appverificatie, Gmail API-referenties en beheerde OAuth via Unipile.

01 Hoe weet ik of mijn app Google OAuth-verificatie nodig heeft?

Uw app heeft Google OAuth app-verificatie nodig als deze is ingesteld op Extern gebruiker die wordt weergegeven op het OAuth-verificatiescherm en die gevoelige of beperkte Gmail-bereiken aanmeldt bij gebruikers buiten uw eigen Google Workspace-organisatie. Als uw app alleen basisbereiken aanmeldt (openid, e-mail, profielof is ingesteld op Intern, is er geen verificatie vereist. Elke scope die toegang verleent tot de mailbox van een gebruiker, zoals gmail.alleenlezen, gmail.verzenden, gmail-aanpassenof mail.google.com, gevoelig of beperkt is en de vereiste activeert.

De tijdlijn is afhankelijk van de scope-laag die je app gebruikt. Merkverificatie (niet-gevoelige bereiken): 2-3 werkdagen. Gevoelige scope beoordeling (gmail.verzenden, gmail.alleenlezen, gmail-aanpassen): doorgaans 2-4 weken nadat uw inzending compleet is. CASA Tier 2 + gevoelige/beperkte scopes (mail.google.com): 4-12+ weken totaal. Onvolledige inzendingen, zoals ontbrekend privacybeleid, vage rechtvaardigingen van de reikwijdte of niet-overeenkomende geautoriseerde domeinen, starten de klok opnieuw.

Vóór de productie, zie onze testing OAuth scopes in Google OAuth Playground.

Google's eigen veiligheidsbeoordeling (voor gevoelige scopes zoals gmail.verzenden en gmail.alleenlezen) is gratis. Merkverificatie is ook gratis. Als uw app beperkte bereiken gebruikt (mail.google.com), je hebt een CASA Tier 2-audit nodig door een door Google goedgekeurd laboratorium. Het zelfbedieningspad CASA Tier 2 in 2026 kost ongeveer $540 tot $1.000 in labkosten. De eerdere, handmatig gestuurde beoordeling die voor dezelfde scope van de klas nodig was, kostte $15.000 tot $75.000 en dat legacy-track is nog steeds van toepassing op enkele uitzonderingsgevallen en bestaande apps die onder een overgangsregeling vallen.

Je kunt de Google app-verificatie niet overslaan voor een productie-app die externe gebruikers met gevoelige Gmail-scopes bedient. De limiet van 100 gebruikers en de waarschuwing voor niet-geverifieerde apps zijn van toepassing totdat je app is geverifieerd. De compatibele alternatieven zijn: stel je app in op Intern (als het alleen voor uw eigen Workspace-gebruikers is bedoeld), gebruik Unipile's CASA gecertificeerde OAuth-sleutel op Tier 2 terwijl je eigen verificatie parallel loopt, of vraag alleen niet-gevoelige scopes aan die de verificatie niet activeren. Het aanmaken van meerdere Cloud-projecten om gebruikers erover te verspreiden is verboden door de beleidsregels van Google en kan leiden tot schorsing van je account.

Zie Het beheerde Gmail API-eindpunt van Unipile.

De waarschuwing voor niet-geverifieerde apps in de Gmail API verschijnt wanneer uw OAuth-toestemmingsscherm is ingesteld op Extern en uw app gevoelige of beperkte Gmail-bereiken aanvraagt, maar het verificatieproces van Google nog niet heeft voltooid. Het wordt getoond aan alle gebruikers buiten uw lijst van 100 testgebruikers. Om dit op te lossen: dient u uw app in voor Google OAuth app-verificatie via de Google Cloud Console, of maak gebruik van Unipile's vooraf geverifieerde, CASA Tier 2 gecertificeerde OAuth-sleutel. Gebruikers die verbinding maken via Unipile's gehoste authenticatiestroom zien deze waarschuwing nooit.

CASA Tier 2 (Cloud Applicatie Beveiligingsbeoordeling) is een onafhankelijke beveiligingsaudit die door Google wordt vereist voor apps die beperkte bereiken aanvragen, voornamelijk https://mail.google.com/, dat volledige toegang tot Gmail op IMAP-niveau verleent. Het wordt uitgevoerd door een door Google goedgekeurd laboratorium. In 2026 is een self-serviceoptie beschikbaar tegen ongeveer $540 tot $1.000. Je hebt alleen CASA Tier 2 nodig als je app de mail.google.com bereik van externe gebruikers. Als u alleen gevoelige bereiken gebruikt (gmail.verzenden, gmail.alleenlezen, gmail-aanpassen), CASA Tier 2 is niet vereist. In plaats daarvan geldt de standaard gratis veiligheidsbeoordeling van Google.

A Gmail API-sleutel is voor openbare, niet-gebruikersspecifieke verzoeken en verleent geen toegang tot de mailbox van een gebruiker. Gmail API OAuth-referenties (klant_id + cliënt_geheim) worden gebruikt om een machtiging per gebruiker te verkrijgen om namens hen toegang te krijgen tot hun Gmail-gegevens. Voor elke functie die e-mail van een gebruiker leest, verzendt of wijzigt, hebt u OAuth-gegevens nodig, geen API-sleutel. Zie onze voor een gedetailleerde vergelijking Gmail API-sleutel vs. OAuth-handleiding.

Nog vragen over de verificatie van Google OAuth-apps of beheerde Gmail OAuth? Ons team staat klaar om u te helpen.

Praat met een expert
nl_NLNL
en_USEN fr_FRFR es_ESES de_DEDE it_ITIT pt_BRBR pl_PLPL tr_TRTR nl_NLNL