Вот некоторые рекомендации по безопасности и конфиденциальности для разработчиков, использующих Google Assistant API в своих проектах.
API и авторизация приложений
Любое приложение, использующее Google Assistant API, должно иметь учетные данные авторизации, которые идентифицируют приложение на сервере аутентификации Google. Обычно эти учетные данные хранятся в загруженном файле client_secret_<client-id>.json . Обязательно сохраните этот файл в месте, доступном только для вашего приложения.
Ваше приложение может предложить пользователю предоставить ему доступ к своей учетной записи Google. Если предоставлено, ваше приложение может запросить токен доступа для этого пользователя. Срок действия этих токенов истекает, но их можно обновить.
Незащищенные токены обновления на устройстве представляют серьезную угрозу безопасности. Убедитесь, что ваше приложение:
- Сохраняет токены обновления в безопасном месте.
- Предоставляет простой способ удаления токенов с устройства. Например, предоставьте кнопку «Выход», которая очищает токен (если приложение имеет пользовательский интерфейс) или сценарий командной строки, который пользователь может выполнить.
- Информирует пользователей о том, что они могут деавторизовать доступ к своей учетной записи Google. Это отменяет токен обновления; чтобы снова использовать приложение, пользователю потребуется повторно авторизовать доступ.
Когда вы закончите постоянное использование устройства, вы должны удалить с него все токены.
Дополнительные сведения см. в разделе Использование OAuth 2.0 для доступа к API Google .