下表列出應用程式應管理的憑證。如要瞭解各種應用程式類型,請參閱 OAuth 說明文件。
| 驗證工作流程 | 憑證 | 憑證類型 | 目的 |
|---|---|---|---|
| 所有應用程式類型 | 開發人員權杖 | 應用程式憑證 | 讓您使用具有核准存取層級的 Google Ads API。 |
|
JavaScript 網頁應用程式 Android 應用程式 |
OAuth 用戶端 ID | 應用程式憑證 | 在執行 OAuth 流程時,用來專門識別應用程式。 |
| 存取權杖和更新權杖 | 使用者憑證 | 代表使用者授權應用程式,允許應用程式代表使用者存取 Google Ads 帳戶。 | |
|
伺服器端網頁應用程式 電腦和 iOS 應用程式 電視和裝置應用程式 |
OAuth 用戶端 ID 和用戶端密鑰 | 應用程式憑證 | 在執行 OAuth 流程時,用來專門識別應用程式。 |
| 存取權杖和更新權杖 | 使用者憑證 | 代表使用者授權應用程式,允許應用程式代為存取使用者的 Google Ads 帳戶。 | |
| 服務帳戶 | OAuth 服務帳戶金鑰 | 應用程式憑證 | 用於簽署 OAuth 要求。 |
| 服務帳戶的存取權杖 | 使用者憑證 | 代表服務帳戶的授權。使用者已與服務帳戶共用 Google Ads 帳戶。 |
管理 Google Ads API 應用程式的憑證時,請注意以下幾點。
安全地處理應用程式憑證
應用程式憑證是指應用程式專用的設定,不會因使用者而異。請務必謹慎處理 OAuth 應用程式憑證,因為只要有人取得這些憑證,就能使用您應用程式的身分存取使用者資訊。請將 OAuth 應用程式憑證儲存在安全的地方,並妥善保護,就像保護密碼一樣。盡可能使用密鑰管理工具 (例如 Google Cloud Secret Manager) 儲存應用程式憑證。您絕不能將用戶端憑證提交到公開的程式碼存放區。強烈建議您避免將這些檔案提交至任何程式碼存放區。
安全處理使用者憑證
使用者憑證是指代表使用者授權的 OAuth 權杖。使用者授權您代表他們執行動作及存取資料時,會將這些權杖委託給您。使用者可直接驗證您的應用程式,或間接透過服務帳戶共用 Google Ads 帳戶,將權杖委託給您。請勿以純文字傳輸權杖,並務必以加密形式儲存權杖,以防資料外洩。不再需要存取使用者帳戶時,請撤銷權杖或服務帳戶權限。撤銷權杖後,請從應用程式或系統中永久刪除權杖。
處理更新權杖的撤銷和到期情形
如果您使用使用者驗證流程,請注意重新整理權杖隨時可能失效。舉例來說,如果您使用多使用者驗證流程,使用者可以選擇撤銷應用程式的存取權。雖然使用單一使用者驗證流程的應用程式較不容易受到這類影響,但為保護使用者而設計的手動或自動程序,仍可能清除或使重新整理權杖過期。如果應用程式需要接收權杖撤銷通知,才能為使用者提供良好體驗,請務必整合 Cross-Account Protection 服務。
在 API 要求中重複使用使用者憑證
OAuth 存取權杖的效期很短,一小時後就會失效。如果您使用我們的用戶端程式庫,系統會以執行緒安全的方式,為您處理存取權杖到期和重新整理的問題。您只需要使用適當的 OAuth 憑證建構 Google Ads API 工作階段物件,並在整個生命週期內重複使用即可。
如果您自行建立存取權杖更新和管理策略,請追蹤存取權杖的到期時間,並盡可能重複使用。如果您不知道上次重新整理存取權杖的時間,可以嘗試重新整理權杖 (假設權杖已過期)。如果存取權杖即將過期,伺服器會傳回相同的存取權杖,以及權杖到期前剩餘的毫秒數。如果存取權杖即將在 5 分鐘內過期,建議強制重新整理。