Se usó la API de Cloud Translation para traducir esta página.

Protege tus credenciales

En esta guía, se muestra cómo asegurarte de que las credenciales de tu aplicación y de usuario sean seguras.

Completa la verificación de apps de OAuth

El alcance de OAuth 2.0 para la API de Google Ads se clasifica como alcance restringido, lo que significa que debes completar el proceso de verificación de la aplicación de OAuth antes de llevarla a producción. Consulta la documentación de Google Identity y el artículo del Centro de ayuda para obtener más información.

Protege las credenciales de la aplicación

Debes proteger el secreto de cliente y el ID de cliente de OAuth 2.0 de tu aplicación. Estas credenciales ayudan a los usuarios y a Google a identificar tu aplicación y, por lo tanto, deben administrarse con cuidado. Debes tratar estas credenciales de aplicación como contraseñas. No las compartas con mecanismos poco seguros, como publicarlas en foros públicos, enviar archivos de configuración que contengan estas credenciales en archivos adjuntos de correo electrónico, codificar las credenciales o confirmarlas en un repositorio de código. Recomendamos usar un administrador de secretos, como Secret Manager de Google Cloud o AWS Secret Manager cuando sea posible.

Si los secretos de tu cliente de OAuth 2.0 están comprometidos, puedes restablecerlos. Un token de desarrollador también se puede restablecer.

Protege el token de desarrollador

El token de desarrollador te permite realizar llamadas a la API a una cuenta, pero no tiene restricciones sobre las cuentas con las que se puede usar para realizar las llamadas. Como resultado, otra persona puede usar un token de desarrollador vulnerado para realizar llamadas atribuidas a tu aplicación. Para evitar esta situación, toma las siguientes medidas preventivas:

Trata tu token de desarrollador como una contraseña. No lo compartas con mecanismos poco seguros, como publicarlos en foros públicos o enviar archivos de configuración que contengan los tokens del desarrollador como un archivo adjunto de correo electrónico. Recomendamos usar un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager cuando sea posible.
Si su token de desarrollador está comprometido, debe restablecerlo.
- Accede a la cuenta de administrador de Google Ads que usaste cuando solicitaste la API de Google Ads.
- Navega a Tools & Settings > API Center.
- Haz clic en la flecha desplegable junto a Token de desarrollador.
- Haz clic en el vínculo Restablecer token. Tu token de desarrollador anterior debería dejar de funcionar de inmediato.
- Actualiza la configuración de producción de tu aplicación para usar el token de desarrollador nuevo.

Protege las cuentas de servicio

Las cuentas de servicio requieren la suplantación de identidad en todo el dominio para funcionar de forma correcta con la API de Google Ads. Además, debes ser cliente de Google Workspace para configurar la suplantación en todo el dominio. Por estos motivos, te recomendamos no usar cuentas de servicio cuando realices llamadas a la API de Google Ads. Sin embargo, si decides usar cuentas de servicio, debes protegerlas de la siguiente manera:

Trata la clave de la cuenta de servicio y el archivo JSON como contraseñas. Protégela con un administrador de secretos, como Secret Manager de Google Cloud o AWS Secret Manager cuando sea posible.
Sigue las prácticas recomendadas adicionales de Google Cloud para proteger y administrar tus cuentas de servicio.

Protege los tokens de usuario

Si tu app autoriza a varios usuarios, debes tomar medidas adicionales para proteger los tokens de acceso y actualización de los usuarios. Almacena los tokens de forma segura en reposo y nunca los transmitas como texto sin formato. Usa un sistema de almacenamiento seguro adecuado para tu plataforma.

Controla la revocación y el vencimiento de los tokens de actualización

Si tu app solicita un token de actualización de OAuth 2.0 como parte de la autorización, también debes controlar su invalidación o vencimiento. Los tokens de actualización se podrían invalidar por varios motivos, y tu aplicación debería responder de forma correcta, ya sea volviendo a autorizar al usuario en la próxima sesión de acceso o borrando sus datos según corresponda. Los trabajos sin conexión, como los trabajos cron, deben detectar y registrar las cuentas cuyos tokens de actualización caducaron, en lugar de continuar realizando solicitudes con errores. Google podría limitar las aplicaciones que generan altos niveles de errores durante un período continuo para mantener la estabilidad de los servidores de la API.

Administra el consentimiento para varios permisos

Si tu app solicita autorización para varios permisos de OAuth 2.0, es posible que el usuario no otorgue todos los permisos de OAuth que solicitaste. Tu app debe controlar la denegación de permisos inhabilitando las funciones relevantes. Puedes volver a pedirle al usuario solo después de que haya indicado claramente su intención de usar la función específica que requiere el alcance. Usa la autorización incremental para solicitar los permisos de OAuth adecuados en esos casos.

Si las funciones básicas de tu app requieren varios permisos, explica este requisito al usuario antes de solicitar el consentimiento.

Descripción general

Niveles de acceso