以下為開發人員在專案中使用 Google 助理 API 的安全性和隱私權指南。
API 與應用程式授權
凡是使用 Google 助理 API 的應用程式,都必須具備向 Google 驗證伺服器識別應用程式的授權憑證。一般來說,這些憑證會儲存在下載的 client_secret_<client-id>.json 檔案中。請務必將這個檔案儲存在僅限應用程式可存取的位置。
您的應用程式可能會提示使用者將存取權授予自己的 Google 帳戶。 授予存取權後,應用程式即可為該使用者要求存取權杖。這些權杖已過期,但可以重新整理。
裝置上未受保護的更新權杖可能會造成重大安全風險。確保應用程式符合以下條件:
- 將更新權杖儲存在安全的地方。
- 提供清除裝置權杖的簡單方法。例如,提供一個「清除」按鈕,用於清除權杖 (如果應用程式有 UI) 或使用者可以執行的指令列指令碼。
- 通知使用者可以撤銷存取權。這會撤銷重新整理權杖;如要再次使用應用程式,使用者必須重新授權。
永久使用完裝置後,請清除裝置中的所有權杖。