코멘토

직무 · 모든 회사 / 모든 직무

Q. drive.file만 사용하는 Google OAuth 앱의 프로덕션 전환 정책 문의

포테토칩00

Google OAuth 2.0과 Google Drive API를 사용하는 웹 앱을 개발 중입니다. 사용자는 Google 계정으로 로그인하며 개인 Drive를 데이터 저장소로 사용합니다. scope는 drive.file만 사용하고 앱이 생성한 파일만 접근합니다. Next.js 서버 환경이며 외부 DB는 없습니다. 질문은 다음과 같습니다. ① drive.file만 사용해도 OAuth 동의 화면을 Production으로 전환할 때 심사(검증)가 필요한가요? 비민감 scope이므로 민감/제한 scope 검증은 불필요한지 궁금합니다. ② OAuth로 발급된 사용자 refresh token을 Next.js 서버에 저장해 사용자 대신 Drive에 쓰는 구조와, 비로그인 제3자 입력 데이터를 해당 Drive에 저장하는 것이 정책상 허용되는지 알고 싶습니다.

2026.01.12

답변 2

  • 전문상담HL 디앤아이한라
    코이사 ∙ 채택률 63%

    안녕하세요, 성실히 답변 드리겠습니다. 채택 바랍니다 ^^ drive, file scope + 앱 사용자만 접근 > 검증 필요 없습니다. drive, file는 비민감(scope)로 분류, 기본적으로 OAuth 동의하면 생산 전환시 구글 검토 불필요 단 사용자 수 많아지면 구굴에서 추가 확인 요청 가능합니다. Refresh token 서버 저장 > 가능 서버에 안전하게 저장하고 사용자 동의 범위내에서만 사용하면 정책 위반 아님 비로그인 제3자 데이터 저장 > 사용자의 Drive를 통한 다른 사람 데이터 저장은 구글 정책상 허용되지 않음 > 사용자 계정으로 다른 사람 데이터 저장은 금지 > 제3자 접근은 별도 계정 사용 필요합니다. 결론적으로 검증은 불필요, 사용자 계정으로만 데이터 저장 가능 , 제3자 입력 데이터 저장은 정책위반이 됩니다.

    2026.01.12

  • 프로답변러YTN
    코부사장 ∙ 채택률 85%

    멘티님 drive.file 스코프는 구글 정책상 민감한 스코프로 분류되므로 프로덕션 배포를 위해서는 무조건 구글의 앱 검증 심사를 통과해야만 경고 문구 없이 서비스가 가능합니다. 리프레시 토큰을 서버에 안전하게 저장하여 백그라운드 작업을 수행하는 것은 기술적으로 권장되는 방식이며 제3자가 입력한 데이터를 소유자의 드라이브에 저장하는 로직 또한 앱의 목적이 명확하다면 정책상 전혀 문제가 되지 않습니다. 검증에는 시간이 소요되니 미리 준비하시고 토큰 보안 관리만 철저히 하시면 됩니다. 채택부탁드리며 파이팅입니다!

    2026.01.09

함께 읽은 질문

궁금증이 남았나요?
빠르게 질문하세요.