다음 표에는 앱이 관리해야 하는 사용자 인증 정보 목록이 요약되어 있습니다. 다양한 앱 유형에 대해 알아보려면 OAuth 문서를 참고하세요.
| 인증 워크플로 | 사용자 인증 정보 | 사용자 인증 정보 유형 | 목적 |
|---|---|---|---|
| 모든 앱 유형 | 개발자 토큰 | 앱 사용자 인증 정보 | 승인된 액세스 수준으로 Google Ads API를 사용할 수 있습니다. |
|
JavaScript 웹 앱 Android 앱 |
OAuth 클라이언트 ID | 앱 사용자 인증 정보 | OAuth 흐름을 실행할 때 앱을 고유하게 식별합니다. |
| 액세스 토큰 및 갱신 토큰 | 사용자 인증 정보 | 앱이 사용자를 대신하여 Google Ads 계정에 액세스하도록 허용하는 사용자의 승인을 나타냅니다. | |
|
서버 측 웹 앱 데스크톱 및 iOS 앱 TV 및 기기 앱 |
OAuth 클라이언트 ID 및 클라이언트 보안 비밀번호 | 앱 사용자 인증 정보 | OAuth 흐름을 실행할 때 앱을 고유하게 식별합니다. |
| 액세스 토큰 및 갱신 토큰 | 사용자 인증 정보 | 앱이 사용자를 대신하여 Google Ads 계정에 액세스하도록 허용하는 사용자의 승인을 나타냅니다. | |
| 서비스 계정 | OAuth 서비스 계정 키 | 앱 사용자 인증 정보 | OAuth 요청에 서명하는 데 사용됩니다. |
| 서비스 계정의 액세스 토큰 | 사용자 인증 정보 | 서비스 계정의 승인을 나타냅니다. 사용자가 서비스 계정과 Google Ads 계정을 공유했습니다. |
Google Ads API 앱의 사용자 인증 정보를 관리할 때는 몇 가지 사항을 고려해야 합니다.
앱 사용자 인증 정보를 안전하게 처리
앱 사용자 인증 정보는 앱에만 적용되는 설정으로, 사용자마다 다르게 적용되지 않습니다. OAuth 앱 사용자 인증 정보는 앱의 ID를 사용하여 사용자 정보에 액세스할 수 있으므로 매우 신중하게 취급해야 합니다. 비밀번호와 마찬가지로 안전한 곳에 OAuth 앱 사용자 인증 정보를 저장하고 보호하세요. 가능한 경우 Google Cloud Secret Manager와 같은 보안 비밀 관리자를 사용하여 앱 사용자 인증 정보를 저장합니다. 클라이언트 사용자 인증 정보를 공개적으로 제공되는 코드 저장소에 커밋해서는 안 됩니다. 이러한 파일을 코드 저장소에 커밋하지 않는 것이 좋습니다.
사용자 인증 정보를 안전하게 처리
사용자 인증 정보는 사용자의 승인을 나타내는 OAuth 토큰을 의미합니다. 이러한 데이터는 앱을 인증하여 직접 또는 서비스 계정과 Google Ads 계정을 공유하여 간접적으로 사용자를 대신하여 작업을 수행하고 데이터에 액세스할 수 있는 권한을 부여한 사용자가 위탁한 것입니다. 일반 텍스트로 토큰을 전송하지 말고 데이터 유출 시 추가 보호를 제공하기 위해 항상 암호화된 토큰을 저장하세요. 사용자 계정에 더 이상 액세스할 필요가 없는 경우 토큰 또는 서비스 계정 권한을 취소합니다. 토큰이 취소된 후에는 애플리케이션이나 시스템에서 영구적으로 삭제합니다.
갱신 토큰 취소 및 만료 처리
사용자 인증 흐름을 사용하는 경우 언제든지 새로고침 토큰이 무효화될 수 있다는 점에 유의해야 합니다. 예를 들어 다중 사용자 인증 흐름을 사용하는 경우 사용자가 앱에 대한 액세스 권한을 취소할 수 있습니다. 단일 사용자 인증 흐름을 사용하는 앱은 이러한 영향을 받을 가능성이 적지만, 사용자를 보호하기 위해 설계된 수동 또는 자동 프로세스에서도 새로고침 토큰을 삭제하거나 새로고침 토큰이 만료될 수 있습니다. 앱에서 사용자에게 좋은 환경을 제공하기 위해 토큰 취소 알림이 필요한 경우 Google의 크로스 계정 보호 서비스와 통합해야 합니다.
API 요청 전반에서 사용자 인증 정보 재사용
OAuth 액세스 토큰은 수명이 짧으며 1시간 후에 만료됩니다. Google 클라이언트 라이브러리를 사용하는 경우 액세스 토큰 만료 및 갱신이 스레드로부터 안전한 방식으로 처리됩니다. 적절한 OAuth 사용자 인증 정보로 Google Ads API 세션 객체를 구성하고 수명 기간 동안 재사용하기만 하면 됩니다.
자체 액세스 토큰 새로고침 및 관리 전략을 빌드하는 경우 액세스 토큰 만료를 추적하고 최대한 재사용해야 합니다. 액세스 토큰이 마지막으로 갱신된 시간을 모르는 경우 이미 만료되었다고 가정하고 갱신을 시도할 수 있습니다. 액세스 토큰이 만료되지 않은 경우 서버는 동일한 액세스 토큰과 함께 토큰이 만료될 때까지 남은 밀리초를 반환합니다. 만료까지 5분 미만 남은 경우 액세스 토큰 새로고침을 강제하는 것이 좋습니다.