Tabel berikut merangkum daftar kredensial yang harus dikelola aplikasi. Lihat dokumentasi OAuth kami untuk mempelajari berbagai jenis aplikasi.
| Alur kerja autentikasi | Kredensial | Jenis kredensial | Tujuan |
|---|---|---|---|
| Semua jenis aplikasi | Token Developer | Kredensial aplikasi | Memungkinkan Anda menggunakan Google Ads API dengan tingkat akses yang disetujui. |
|
Aplikasi web JavaScript Aplikasi Android |
Client ID OAuth | Kredensial aplikasi | Mengidentifikasi Aplikasi secara unik saat melakukan alur OAuth. |
| Token akses & token refresh | Kredensial pengguna | Mewakili otorisasi pengguna untuk mengizinkan aplikasi mengakses akun Google Ads miliknya atas nama pengguna. | |
|
Aplikasi web sisi server Aplikasi desktop dan iOS Aplikasi TV dan Perangkat |
Client ID & rahasia klien OAuth | Kredensial aplikasi | Mengidentifikasi Aplikasi secara unik saat melakukan alur OAuth. |
| Token akses & token refresh | Kredensial pengguna | Mewakili otorisasi pengguna untuk mengizinkan aplikasi mengakses akun Google Ads miliknya atas nama pengguna. | |
| Akun layanan | Kunci akun layanan OAuth | Kredensial aplikasi | Digunakan untuk menandatangani permintaan OAuth. |
| Token akses akun layanan | Kredensial pengguna | Mewakili otorisasi akun layanan. Pengguna telah membagikan akun Google Ads mereka ke akun layanan. |
Ada beberapa hal yang perlu dipertimbangkan saat mengelola kredensial untuk aplikasi Google Ads API.
Menangani kredensial aplikasi dengan aman
Kredensial aplikasi mengacu pada setelan yang khusus untuk aplikasi Anda, dan tidak bervariasi dari satu pengguna ke pengguna lain. Perlakukan kredensial aplikasi OAuth Anda dengan sangat hati-hati, karena kredensial tersebut memungkinkan siapa pun yang memilikinya menggunakan identitas aplikasi Anda untuk mendapatkan akses ke informasi pengguna. Simpan kredensial aplikasi OAuth Anda di tempat yang aman dan lindungi kredensial tersebut, sama seperti Anda melindungi sandi. Jika memungkinkan, gunakan pengelola secret, seperti Google Cloud Secret Manager untuk menyimpan kredensial aplikasi. Anda tidak boleh melakukan commit kredensial klien ke repositori kode yang tersedia secara publik. Sebaiknya hindari melakukan commit ke repositori kode apa pun.
Menangani kredensial pengguna dengan aman
Kredensial pengguna mengacu pada token OAuth yang merepresentasikan otorisasi pengguna. Data tersebut dipercayakan kepada Anda oleh pengguna yang memberi Anda izin untuk bertindak dan mengakses data atas nama mereka -- baik secara langsung dengan mengautentikasi aplikasi Anda, atau secara tidak langsung dengan membagikan akun Google Ads mereka ke akun layanan Anda. Jangan pernah mengirim token dalam teks biasa, dan selalu simpan token terenkripsi saat tidak digunakan untuk memberikan lapisan perlindungan ekstra jika terjadi pelanggaran data. Mencabut token atau izin akun layanan jika Anda tidak lagi memerlukan akses ke akun pengguna. Setelah token dicabut, hapus token tersebut secara permanen dari aplikasi atau sistem Anda.
Menangani pencabutan dan masa berlaku token refresh
Jika Anda menggunakan alur autentikasi pengguna, Anda harus ingat bahwa token refresh dapat dibatalkan kapan saja. Misalnya, jika Anda menggunakan alur autentikasi multi-pengguna, pengguna dapat memilih untuk mencabut akses ke aplikasi Anda. Meskipun aplikasi yang menggunakan alur autentikasi pengguna tunggal cenderung tidak terpengaruh dengan cara ini, proses manual atau otomatis yang dirancang untuk melindungi pengguna juga masih dapat menghapus token refresh, atau token refresh dapat habis masa berlakunya. Jika aplikasi Anda memerlukan notifikasi pencabutan token untuk memberikan pengalaman yang baik bagi pengguna, Anda harus berintegrasi dengan layanan Perlindungan Lintas Akun kami.
Menggunakan kembali kredensial pengguna di seluruh permintaan API Anda
Token akses OAuth berumur pendek dan akan berakhir dalam satu jam. Jika Anda menggunakan library klien kami, masa berlaku dan refresh token akses akan ditangani untuk Anda dengan cara yang aman untuk thread. Yang perlu Anda lakukan adalah membuat objek sesi Google Ads API dengan kredensial OAuth yang sesuai dan menggunakannya kembali selama masa aktifnya.
Jika Anda membuat strategi pengelolaan dan refresh token akses sendiri, Anda harus melacak masa berlaku token akses dan menggunakannya kembali sebanyak mungkin. Jika Anda tidak tahu kapan terakhir kali token akses diperbarui, Anda dapat mencoba memperbaruinya, dengan asumsi masa berlakunya sudah berakhir. Jika masa berlaku token akses tidak akan segera berakhir, server akan menampilkan token akses yang sama, beserta sisa waktu dalam milidetik hingga masa berlaku token berakhir. Sebaiknya paksa refresh token akses jika waktu habis masa berlaku kurang dari 5 menit.