Pour discuter de nos produits et nous faire part de vos commentaires, rejoignez le canal Discord officiel Google Ads sur le serveur de la communauté Google Advertising and Measurement.

Cette page a été traduite par l'API Cloud Translation.

Sécuriser vos identifiants

Ce guide explique comment vous assurer que vos identifiants d'application et d'utilisateur sont sécurisés.

Valider l'application OAuth

Le champ d'application OAuth 2.0 de l'API Google Ads est classé comme champ d'application restreint. Cela signifie que vous devez effectuer la procédure de validation des applications OAuth avant de mettre votre application en production. Pour en savoir plus, consultez la documentation Google Identity et cet article du Centre d'aide.

Sécuriser les identifiants de l'application

Vous devez sécuriser l'ID client et le code secret client OAuth 2.0 de votre application. Ces identifiants aident vos utilisateurs et Google à identifier votre application. Vous devez donc les gérer avec soin. Vous devez traiter ces identifiants d'application comme des mots de passe. Ne les partagez pas à l'aide de mécanismes non sécurisés, par exemple en les publiant sur des forums publics, en envoyant des fichiers de configuration contenant ces identifiants dans des pièces jointes d'e-mails, en codant en dur les identifiants ou en les ajoutant à un dépôt de code. Nous vous recommandons d'utiliser un gestionnaire de secrets tel que Google Cloud Secret Manager ou AWS Secret Manager lorsque cela est possible.

Si vos codes secrets de client OAuth 2.0 sont compromis, vous pouvez les réinitialiser. Vous pouvez également réinitialiser un jeton de développeur.

Sécuriser le jeton de développeur

Le jeton de développeur vous permet d'effectuer des appels d'API vers un compte, mais il n'y a aucune restriction quant aux comptes avec lesquels il peut être utilisé pour effectuer les appels. Par conséquent, un jeton de développeur piraté peut être utilisé par une autre personne pour effectuer des appels qui sont attribués à votre application. Pour éviter ce problème, prenez les mesures préventives suivantes :

Traitez votre jeton de développeur comme un mot de passe. Ne le partagez pas à l'aide de mécanismes non sécurisés, par exemple en le publiant sur des forums publics ou en envoyant des fichiers de configuration contenant les jetons de développeur en pièce jointe d'un e-mail. Nous vous recommandons d'utiliser un gestionnaire de secrets tel que Google Cloud Secret Manager ou AWS Secret Manager lorsque cela est possible.
Si votre jeton de développeur est compromis, vous devez le réinitialiser.
- Connectez-vous au compte administrateur Google Ads que vous avez utilisé pour demander l'accès à l'API Google Ads.
- Accédez à Outils et paramètres > Centre d'API.
- Cliquez sur la flèche du menu déroulant à côté de Jeton de développeur.
- Cliquez sur le lien Réinitialiser le jeton. Votre ancien jeton de développeur devrait cesser de fonctionner immédiatement.
- Mettez à jour la configuration de production de votre application pour utiliser le nouveau jeton de développeur.

Sécuriser les comptes de service

Les comptes de service nécessitent l'usurpation d'identité au niveau du domaine pour fonctionner correctement avec l'API Google Ads. De plus, vous devez être client Google Workspace pour configurer l'usurpation d'identité au niveau du domaine. Pour ces raisons, nous vous déconseillons d'utiliser des comptes de service lorsque vous effectuez des appels à l'API Google Ads. Toutefois, si vous décidez d'utiliser des comptes de service, vous devez les sécuriser comme suit :

Traitez la clé de votre compte de service et le fichier JSON comme des mots de passe. Sécurisez-les à l'aide d'un gestionnaire de secrets tel que Google Cloud Secret Manager ou AWS Secret Manager, si possible.
Suivez les bonnes pratiques supplémentaires de Google Cloud pour sécuriser et gérer vos comptes de service.

Sécuriser les jetons utilisateur

Si votre application autorise plusieurs utilisateurs, vous devez prendre des mesures supplémentaires pour protéger les jetons d'actualisation et d'accès des utilisateurs. Stockez les jetons de manière sécurisée au repos et ne les transmettez jamais en texte brut. Utilisez un système de stockage sécurisé adapté à votre plate-forme.

Gérer la révocation et l'expiration des jetons d'actualisation

Si votre application demande un jeton d'actualisation OAuth 2.0 dans le cadre de l'autorisation, vous devez également gérer son invalidation ou son expiration. Les jetons d'actualisation peuvent être invalidés pour diverses raisons. Votre application doit répondre de manière appropriée, soit en réautorisant l'utilisateur lors de sa prochaine session de connexion, soit en nettoyant ses données, le cas échéant. Les tâches hors connexion, comme les tâches cron, doivent détecter et enregistrer les comptes dont les jetons d'actualisation ont expiré, au lieu de continuer à envoyer des requêtes qui échouent. Pour maintenir la stabilité des serveurs d'API, Google peut limiter les applications qui génèrent un nombre élevé d'erreurs sur une période prolongée.

Gérer le consentement pour plusieurs niveaux d'accès

Si votre application demande l'autorisation pour plusieurs champs d'application OAuth 2.0, il est possible que l'utilisateur n'accorde pas tous les champs d'application OAuth que vous avez demandés. Votre application doit gérer le refus des niveaux d'accès en désactivant les fonctionnalités concernées. Vous ne pouvez à nouveau inviter l'utilisateur à accorder l'autorisation qu'après qu'il a clairement indiqué son intention d'utiliser la fonctionnalité spécifique qui nécessite le champ d'application. Dans ce cas, utilisez l'autorisation incrémentielle pour demander les bons champs d'application OAuth.

Si les fonctionnalités de base de votre application nécessitent plusieurs autorisations, expliquez cette exigence à l'utilisateur avant de lui demander son consentement.

Aperçu

Niveaux d'accès