Z tego przewodnika dowiesz się, jak upewnić się, że aplikacja i dane logowania użytkownika są bezpieczne.
Dokończ weryfikację aplikacji OAuth
Zakres OAuth 2.0 dla interfejsu Google Ads API jest sklasyfikowany jako zakres z ograniczeniami, co oznacza, że przed utworzeniem aplikacji musisz przejść proces weryfikacji aplikacji OAuth. Więcej informacji znajdziesz w dokumentacji Google Identity i artykule w Centrum pomocy.
Zabezpiecz dane logowania do aplikacji
Zabezpiecz identyfikator klienta OAuth 2.0 i tajny klucz klienta aplikacji. Pomagają one użytkownikom i Google identyfikować Twoją aplikację, dlatego należy z nimi ostrożnie korzystać. Dane logowania do aplikacji należy traktować jak hasła. Nie udostępniaj ich za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych, wysyłanie plików konfiguracyjnych zawierających te dane w załącznikach do e-maili, kodowanie na stałe danych logowania lub umieszczanie ich w repozytorium kodu. W miarę możliwości zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Jeśli ktoś przejmie tajne klucze klienta OAuth 2.0, możesz je zresetować. Token programisty można też zresetować.
Zabezpieczanie tokena programisty
Token programisty umożliwia wykonywanie wywołań interfejsu API na koncie, ale nie jest ograniczony do kont, których można używać do tych wywołań. W efekcie przejęty token programisty może zostać wykorzystany przez kogoś innego do wykonywania wywołań przypisanych do Twojej aplikacji. Aby tego uniknąć, podejmij następujące działania:
Traktuj token programisty jak hasło. Nie udostępniaj ich za pomocą niezabezpieczonych mechanizmów, np. publikowania ich na forach publicznych lub wysyłania plików konfiguracyjnych zawierających tokeny programisty w załączniku do e-maila. W miarę możliwości zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Jeśli Twój token programisty został przejęty, zresetuj go.
- Zaloguj się na konto menedżera Google Ads użyte podczas rejestracji w interfejsie Google Ads API.
- Kliknij Narzędzia i ustawienia > Centrum interfejsów API.
- Kliknij strzałkę w dół obok pozycji Token programisty.
- Kliknij link Reset token (Resetuj token). Stary token programisty powinien od razu przestać działać.
- Zaktualizuj konfigurację produkcyjną aplikacji, aby używać nowego tokena programisty.
Zabezpieczanie kont usługi
Konta usługi wymagają przejmowania tożsamości w całej domenie, aby działać prawidłowo z interfejsem Google Ads API. Oprócz tego musisz być klientem Google Workspace, aby skonfigurować przejmowanie tożsamości w całej domenie. Dlatego odradzamy korzystanie z kont usługi podczas wykonywania wywołań interfejsu API Google Ads. Jeśli jednak zdecydujesz się używać kont usługi, zabezpiecz je w ten sposób:
Traktuj klucz konta usługi i plik JSON jako hasła. W miarę możliwości zabezpiecz je za pomocą menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Postępuj zgodnie z dodatkowymi sprawdzonymi metodami dotyczącymi Google Cloud, aby zabezpieczyć konta usługi i nimi zarządzać.
Zabezpieczanie tokenów użytkownika
Jeśli Twoja aplikacja autoryzuje wielu użytkowników, wykonaj dodatkowe czynności, aby chronić ich tokeny odświeżania i dostępu. Tokeny przechowuj w bezpiecznym spoczynku i nigdy nie przesyłaj ich jako zwykły tekst. Używaj bezpiecznego systemu pamięci masowej odpowiedniego dla Twojej platformy.
Obsługa unieważniania i wygaśnięcia tokena odświeżania
Jeśli w ramach autoryzacji aplikacja żąda tokena odświeżania OAuth 2.0, musisz też obsłużyć ich unieważnienie lub wygaśnięcie. Tokeny odświeżania mogą zostać z różnych powodów unieważnione, a aplikacja powinna zareagować uprzejmie, ponownie autoryzując użytkownika podczas kolejnej sesji logowania lub usuwając jego dane. Zadania offline, takie jak zadania cron, powinny wykrywać i rejestrować konta, których tokeny odświeżania wygasły, zamiast kontynuować wykonywanie nieudanych żądań. Google może ograniczać działanie aplikacji, które przez dłuższy czas generują wysoki poziom błędów, aby utrzymać stabilność serwerów API.
Zarządzanie zgodą użytkowników dla wielu zakresów
Jeśli aplikacja żąda autoryzacji wielu zakresów OAuth 2.0, użytkownik może nie przyznać wszystkich żądanych zakresów OAuth. Aplikacja powinna obsługiwać odmowa zakresów, wyłączając odpowiednie funkcje. Możesz wysłać użytkownikowi prośbę ponownie, dopiero gdy wyraźnie wskaże on, że chce korzystać z danej funkcji, która wymaga zakresu. Aby w takich przypadkach poprosić o odpowiednie zakresy protokołu OAuth, użyj autoryzacji przyrostowej.
Jeśli podstawowe funkcje aplikacji wymagają wielu zakresów, wyjaśnij to użytkownikowi, zanim wyświetlisz prośbę o zgodę na wykorzystanie danych.