本指南說明如何確保應用程式和使用者憑證安全無虞。
完成 OAuth 應用程式驗證
Google Ads API 的 OAuth 2.0 範圍屬於受限範圍,因此您應先完成 OAuth 應用程式驗證程序,再將應用程式投入正式環境。詳情請參閱 Google Identity 說明文件和說明中心文章。
保護應用程式憑證
您應保護應用程式的 OAuth 2.0 用戶端 ID 和用戶端密鑰。這些憑證可協助使用者和 Google 識別您的應用程式,因此請務必謹慎處理。請將這些應用程式憑證視為密碼,請勿使用不安全的機制分享這些憑證,例如在公開論壇上發布、在電子郵件附件中傳送含有這些憑證的設定檔、將憑證硬式編碼,或將憑證提交至程式碼存放區。建議盡可能使用密鑰管理工具,例如 Google Cloud Secret Manager 或 AWS Secret Manager。
如果 OAuth 2.0 用戶端密鑰遭盜用,您可以重設密鑰。開發人員權杖也可以重設。
保護開發人員權杖
開發人員權杖可讓您對帳戶發出 API 呼叫,但使用權杖呼叫 API 時,不受帳戶限制。因此,如果開發人員權杖遭盜用,其他人就能撥打電話,並將費用計入您的應用程式。如要避免這種情況,請採取下列預防措施:
請將開發人員權杖視為密碼,請勿使用不安全的機制分享,例如在公開論壇上發布,或將含有開發人員權杖的設定檔做為電子郵件附件傳送。建議盡可能使用密鑰管理工具,例如 Google Cloud Secret Manager 或 AWS Secret Manager。
如果開發人員符記遭盜用,請重設符記。
- 登入申請 Google Ads API 時使用的 Google Ads 管理員帳戶。
- 依序前往「工具與設定」>「API 中心」。
- 按一下「開發人員權杖」旁的下拉式箭頭。
- 按一下「重設權杖」連結。舊的開發人員權杖應立即停止運作。
- 更新應用程式的正式環境設定,使用新的開發人員權杖。
保護服務帳戶
服務帳戶需要網域層級模擬,才能與 Google Ads API 正常運作。此外,您必須是 Google Workspace 客戶,才能設定網域層級模擬。基於上述原因,我們不建議在發出 Google Ads API 呼叫時使用服務帳戶。不過,如果您決定使用服務帳戶,請按照下列方式保護帳戶安全:
請將服務帳戶金鑰和 JSON 檔案視為密碼,盡可能使用 Google Cloud Secret Manager 或 AWS Secret Manager 等密鑰管理工具保護這些密鑰。
請遵循 Google Cloud 提供的其他最佳做法,確保服務帳戶安全無虞並妥善管理。
保護使用者權杖
如果應用程式授權多位使用者,您應採取額外步驟,保護使用者的重新整理和存取權杖。請務必以靜態方式安全儲存權杖,且絕不以純文字傳輸權杖。使用適合您平台的安全儲存系統。
處理更新權杖的撤銷和到期情形
如果應用程式在授權時要求 OAuth 2.0 更新權杖,您也必須處理權杖失效或過期的情況。重新整理權杖可能會因各種原因而失效,應用程式應妥善處理,方法是在使用者下次登入工作階段時重新授權,或視需要清除使用者資料。對於 Cron 工作等離線工作,系統應偵測並記錄更新權杖過期的帳戶,而不是繼續發出失敗的要求。如果應用程式在一段時間內持續產生大量錯誤,Google 可能會限制應用程式,以維持 API 伺服器的穩定性。
管理多個範圍的同意聲明
如果應用程式要求多個 OAuth 2.0 範圍的授權,使用者可能不會授予您要求的所有 OAuth 範圍。應用程式應處理範圍遭拒的情況,方法是停用相關功能。只有在使用者明確表示要使用需要該範圍的特定功能時,您才能再次提示使用者。在這種情況下,請使用增量授權要求適當的 OAuth 範圍。
如果應用程式的基本功能需要多個範圍,請先向使用者說明這項需求,再提示使用者同意。