Чтобы обсудить наши продукты и оставить отзыв, присоединяйтесь к официальному каналу Google Ads в Discord на сервере Google Advertising and Measurement Community .

Эта страница переведена с помощью Cloud Translation API.

Защитите свои учетные данные

В этом руководстве показано, как обеспечить безопасность вашего приложения и учетных данных пользователя.

Завершите проверку приложения OAuth

Область действия OAuth 2.0 для API Google Ads классифицируется как ограниченная область действия , что означает, что перед запуском приложения в эксплуатацию необходимо пройти проверку OAuth. Подробнее см. в документации Google Identity и статье Справочного центра .

Защитите учетные данные приложения

Вам следует защитить идентификатор клиента OAuth 2.0 и секретный ключ клиента вашего приложения. Эти учётные данные помогают пользователям и Google идентифицировать ваше приложение, поэтому с ними следует обращаться осторожно. С учётными данными приложения следует обращаться так же, как с паролями. Не передавайте их небезопасными способами, такими как публикация на публичных форумах, отправка файлов конфигурации, содержащих эти учётные данные, во вложениях к электронным письмам, жёсткое кодирование учётных данных или их сохранение в репозитории кода. Мы рекомендуем по возможности использовать менеджер секретов, например, Google Cloud Secret Manager или AWS Secret Manager .

Если ваши клиентские секреты OAuth 2.0 скомпрометированы, вы можете их сбросить . Токен разработчика также можно сбросить .

Защитите токен разработчика

Токен разработчика позволяет совершать API-вызовы к учётной записи, но не имеет ограничений на то, с какими учётными записями его можно использовать для этих вызовов. В результате скомпрометированный токен разработчика может быть использован кем-то другим для совершения вызовов, приписываемых вашему приложению. Чтобы избежать этого, примите следующие меры предосторожности:

Относитесь к своему токену разработчика как к паролю. Не передавайте его небезопасными способами, например, публикуя на публичных форумах или отправляя файлы конфигурации, содержащие токены разработчика, во вложении к электронному письму. Мы рекомендуем по возможности использовать менеджер секретов, например Google Cloud Secret Manager или AWS Secret Manager .
Если ваш токен разработчика скомпрометирован, вам следует сбросить его.
- Войдите в учетную запись менеджера Google Ads, которую вы использовали при подаче заявки на API Google Ads.
- Перейдите в Инструменты и настройки > Центр API .
- Нажмите стрелку раскрывающегося списка рядом с пунктом Токен разработчика .
- Нажмите ссылку «Сбросить токен» . Ваш старый токен разработчика должен немедленно перестать работать.
- Обновите производственную конфигурацию вашего приложения, чтобы использовать новый токен разработчика.

Защитите учетные записи служб

Для корректной работы сервисных аккаунтов с API Google Ads требуется общедоменное олицетворение. Кроме того, для настройки общедоменного олицетворения необходимо быть клиентом Google Workspace. По этим причинам мы рекомендуем не использовать сервисные аккаунты при вызовах API Google Ads. Однако, если вы решите использовать сервисные аккаунты, вам следует защитить их следующим образом:

Используйте ключ сервисной учётной записи и JSON-файл как пароли. По возможности защитите их с помощью менеджера секретов, например Google Cloud Secret Manager или AWS Secret Manager .
Следуйте дополнительным рекомендациям Google Cloud по защите и управлению вашими учетными записями служб.

Защитите токены пользователя

Если ваше приложение авторизует нескольких пользователей, вам следует принять дополнительные меры для защиты токенов обновления и доступа пользователей. Храните токены в безопасном месте и никогда не передавайте их в виде простого текста. Используйте безопасную систему хранения, подходящую для вашей платформы.

Обработка отзыва и истечения срока действия токенов обновления

Если ваше приложение запрашивает токен обновления OAuth 2.0 в рамках авторизации, необходимо также обрабатывать его аннулирование или истечение срока действия. Токены обновления могут быть аннулированы по разным причинам , и ваше приложение должно корректно реагировать на это, либо повторно авторизуя пользователя во время следующего сеанса входа, либо очищая его данные по мере необходимости. Автономные задания, такие как cron-задания, должны обнаруживать и регистрировать учётные записи с истёкшим сроком действия токенов обновления, вместо того чтобы продолжать выполнять неудачные запросы. Google может ограничивать производительность приложений, генерирующих большое количество ошибок в течение длительного периода времени, для поддержания стабильности работы серверов API.

Управление согласием для нескольких областей

Если ваше приложение запрашивает авторизацию для нескольких областей OAuth 2.0, пользователь может не предоставить все запрошенные вами области OAuth. Ваше приложение должно обрабатывать отказы в доступе, отключая соответствующие функции. Вы можете повторно запросить авторизацию только после того, как пользователь чётко укажет на намерение использовать конкретную функцию, требующую этой области. В таких случаях используйте инкрементную авторизацию для запроса соответствующих областей OAuth.

Если базовые функции вашего приложения требуют наличия нескольких областей действия, объясните это требование пользователю, прежде чем запрашивать его согласие.

Обзор

Уровни доступа