다음은 프로젝트에서 Google Assistant API를 사용하는 개발자를 위한 몇 가지 보안 및 개인 정보 보호 가이드라인입니다.
API 및 애플리케이션 승인
Google Assistant API를 사용하는 모든 애플리케이션에는 Google 인증 서버에서 애플리케이션을 식별하는 승인 사용자 인증 정보가 있어야 합니다.
일반적으로 이러한 사용자 인증 정보는 다운로드한 client_secret_<client-id>.json 파일에 저장됩니다. 애플리케이션만 액세스할 수 있는 위치에 이 파일을 저장해야 합니다.
애플리케이션에서 사용자에게 Google 계정에 대한 액세스 권한을 부여하라는 메시지를 표시할 수 있습니다. 권한이 부여된 경우 애플리케이션에서 해당 사용자의 액세스 토큰을 요청할 수 있습니다. 이러한 토큰은 만료되지만 갱신할 수 있습니다.
기기에 보호되지 않은 갱신 토큰이 있으면 상당한 보안 위험이 발생합니다. 애플리케이션이 다음 조건을 충족하는지 확인합니다.
- 갱신 토큰을 안전한 장소에 저장합니다.
- 기기에서 토큰을 삭제하는 쉬운 방법을 제공합니다. 예를 들어 토큰 (애플리케이션이 UI를 사용하는 경우)이나 사용자가 실행할 수 있는 명령줄 스크립트를 지우는 '로그아웃' 버튼을 제공합니다.
- 사용자에게 Google 계정 액세스를 승인 취소할 수 있다고 안내합니다. 이렇게 하면 갱신 토큰이 취소되므로 애플리케이션을 다시 사용하려면 사용자가 액세스를 다시 승인해야 합니다.
기기 사용을 완전히 마쳤으면 기기에서 모든 토큰을 삭제해야 합니다.
자세한 내용은 OAuth 2.0을 사용하여 Google API에 액세스하기를 참고하세요.