รักษาความปลอดภัยของข้อมูลเข้าสู่ระบบ

คู่มือนี้แสดงวิธีตรวจสอบว่าแอปพลิเคชันและข้อมูลเข้าสู่ระบบของผู้ใช้มีความปลอดภัย

ทำการยืนยันแอป OAuth ให้เสร็จสมบูรณ์

ขอบเขต OAuth 2.0 สำหรับ Google Ads API จัดเป็นขอบเขตที่จำกัด ซึ่งหมายความว่าคุณควรดำเนินการในกระบวนการยืนยันแอปพลิเคชัน OAuth ให้เสร็จสิ้นก่อนที่จะนำแอปพลิเคชันไปใช้จริง ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ Google Identity, บทความในศูนย์ช่วยเหลือเกี่ยวกับแอปที่ไม่ได้รับการยืนยัน และเอกสารเกี่ยวกับการตั้งค่าหน้าจอขอความยินยอมให้ใช้ OAuth

รักษาข้อมูลเข้าสู่ระบบของแอปพลิเคชันให้ปลอดภัย

คุณควรรักษาความปลอดภัยของรหัสไคลเอ็นต์ OAuth 2.0 และรหัสลับไคลเอ็นต์ของแอปพลิเคชัน ข้อมูลเข้าสู่ระบบเหล่านี้ช่วยให้ผู้ใช้และ Google ระบุแอปพลิเคชันของคุณได้ ดังนั้นคุณจึงควรจัดการข้อมูลเข้าสู่ระบบเหล่านี้อย่างระมัดระวัง คุณควรถือว่าข้อมูลเข้าสู่ระบบของแอปพลิเคชันเหล่านี้ เป็นรหัสผ่าน อย่าแชร์โดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะ การส่งไฟล์การกำหนดค่าที่มีข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์แนบอีเมล การฮาร์ดโค้ดข้อมูลเข้าสู่ระบบ หรือการคอมมิตไปยังที่เก็บโค้ด เราขอแนะนำให้ใช้เครื่องมือจัดการลับ เช่น Google Cloud Secret Manager หรือ AWS Secret Manager หากเป็นไปได้

หากรหัสลับไคลเอ็นต์ OAuth 2.0 ถูกบุกรุก คุณจะรีเซ็ตรหัสลับได้ นอกจากนี้ยังรีเซ็ตโทเค็นนักพัฒนาแอปได้ด้วย

รักษาโทเค็นของนักพัฒนาแอปให้ปลอดภัย

โทเค็นของนักพัฒนาซอฟต์แวร์ช่วยให้คุณเรียก API ไปยังบัญชีได้ แต่ไม่มีข้อจำกัดเกี่ยวกับบัญชีที่ใช้ในการเรียก ด้วยเหตุนี้ ผู้อื่นจึงอาจใช้โทเค็นนักพัฒนาแอปที่ถูกบุกรุกเพื่อทำการเรียกที่เชื่อมโยงกับแอปพลิเคชันของคุณได้ หากไม่ต้องการให้เกิดสถานการณ์นี้ ให้ใช้มาตรการป้องกันต่อไปนี้

  • ถือว่าโทเค็นนักพัฒนาแอปเป็นเหมือนรหัสผ่าน อย่าแชร์โดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะหรือการส่งไฟล์การกำหนดค่า ที่มีโทเค็นนักพัฒนาแอปเป็นไฟล์แนบทางอีเมล เราขอแนะนำให้ใช้ เครื่องมือจัดการข้อมูลลับ เช่น Secret Manager ของ Google Cloud หรือ Secret Manager ของ AWS หากทำได้

  • หากโทเค็นนักพัฒนาแอปถูกบุกรุก คุณควรรีเซ็ตโทเค็น

    • ลงชื่อเข้าใช้บัญชีดูแลจัดการ Google Ads ที่คุณใช้เมื่อสมัคร Google Ads API
    • ไปที่เครื่องมือและการตั้งค่า > ศูนย์ API
    • คลิกลูกศรแบบเลื่อนลงข้างโทเค็นนักพัฒนาแอป
    • คลิกลิงก์รีเซ็ตโทเค็น โทเค็นของนักพัฒนาแอปเก่าของคุณควรหยุด ทำงานทันที
    • อัปเดตการกำหนดค่าเวอร์ชันที่ใช้งานจริงของแอปพลิเคชันเพื่อใช้โทเค็น นักพัฒนาแอปใหม่

รักษาความปลอดภัยให้บัญชีบริการ

บัญชีบริการต้องมีการแอบอ้างเป็นผู้ใช้แบบทั่วทั้งโดเมนเพื่อให้ทำงานร่วมกับ Google Ads API ได้อย่างถูกต้อง นอกจากนี้ คุณควรเป็นลูกค้า Google Workspace เพื่อตั้งค่าการแอบอ้างเป็นผู้ใช้แบบทั่วทั้งโดเมน ด้วยเหตุนี้ เราจึงไม่แนะนำให้ใช้บัญชีบริการเมื่อทำการเรียก Google Ads API อย่างไรก็ตาม หากตัดสินใจใช้บัญชีบริการ คุณควรรักษาความปลอดภัยของบัญชีดังกล่าวดังนี้

รักษาความปลอดภัยของโทเค็นผู้ใช้

หากแอปให้สิทธิ์ผู้ใช้หลายราย คุณควรทำตามขั้นตอนเพิ่มเติมเพื่อ ปกป้องโทเค็นการรีเฟรชและโทเค็นเพื่อการเข้าถึงของผู้ใช้ จัดเก็บโทเค็นอย่างปลอดภัยขณะพักและห้ามส่งโทเค็นเป็นข้อความธรรมดา ใช้ระบบจัดเก็บข้อมูลที่ปลอดภัย ซึ่งเหมาะสมกับแพลตฟอร์มของคุณ

จัดการการเพิกถอนและการหมดอายุของโทเค็นการรีเฟรช

หากแอปขอโทเค็นการรีเฟรช OAuth 2.0 เป็นส่วนหนึ่งของการให้สิทธิ์ คุณต้องจัดการการทำให้โทเค็นดังกล่าวไม่ถูกต้องหรือหมดอายุด้วย โทเค็นการรีเฟรชอาจใช้ไม่ได้ด้วยเหตุผลหลายประการ และแอปพลิเคชันของคุณควรตอบสนอง อย่างเหมาะสมด้วยการให้สิทธิ์ผู้ใช้ซ้ำในเซสชันการเข้าสู่ระบบครั้งถัดไป หรือ ล้างข้อมูลของผู้ใช้ตามความเหมาะสม งานที่ทำงานแบบออฟไลน์ เช่น งาน Cron ควรตรวจหาและบันทึกบัญชีที่โทเค็นสำหรับรีเฟรชหมดอายุแล้ว แทนที่จะส่งคำขอที่ไม่สำเร็จต่อไป Google อาจจำกัดแอปพลิเคชันที่สร้างข้อผิดพลาดในระดับสูงเป็นระยะเวลานานเพื่อรักษาเสถียรภาพของเซิร์ฟเวอร์ API

จัดการความยินยอมสำหรับขอบเขตหลายรายการ

หากแอปขอการให้สิทธิ์สำหรับขอบเขต OAuth 2.0 หลายรายการ ผู้ใช้อาจไม่ให้สิทธิ์ขอบเขต OAuth ทั้งหมดที่คุณขอ แอปของคุณควรจัดการ การปฏิเสธขอบเขตโดยการปิดใช้ฟีเจอร์ที่เกี่ยวข้อง คุณจะแจ้งให้ผู้ใช้ดำเนินการอีกครั้งได้ก็ต่อเมื่อผู้ใช้ระบุความตั้งใจที่จะใช้ฟีเจอร์ที่เฉพาะเจาะจงซึ่งต้องใช้ขอบเขตอย่างชัดเจนแล้วเท่านั้น ใช้การให้สิทธิ์ทีละส่วนเพื่อขอขอบเขต OAuth ที่เหมาะสมในกรณีดังกล่าว

หากฟีเจอร์พื้นฐานของแอปต้องใช้ขอบเขตหลายรายการ ให้ชี้แจงข้อกำหนดนี้ แก่ผู้ใช้ก่อนที่จะแจ้งให้ขอความยินยอม

ก่อนหน้า
ภาพรวม
ถัดไป
ระดับการเข้าถึง