プライバシーとセキュリティに関するベスト プラクティス

ここでは、プロジェクトで Google Assistant API を使用するデベロッパー向けのセキュリティとプライバシーのガイドラインをいくつか紹介します。

API とアプリケーションの認可

Google Assistant API を使用するアプリケーションには、Google の認証サーバーでアプリケーションを識別する認証情報が必要です。通常、これらの認証情報はダウンロードした client_secret_<client-id>.json ファイルに保存されます。このファイルは必ず、自分のアプリだけがアクセスできる場所に保管してください。

アプリは、Google アカウントへのアクセス権を付与するようユーザーに求める場合があります。許可されている場合、アプリケーションはそのユーザーのアクセス トークンをリクエストできます。これらのトークンには有効期限がありますが、更新は可能です。

デバイス上の更新トークンを保護しないと、セキュリティ上の重大なリスクが生じます。アプリが次の条件を満たしていることを確認します。

  • 更新トークンを安全な場所に保存します。
  • デバイスからトークンを簡単に消去できる手段を提供します。たとえば、トークンをクリアする「ログアウト」ボタン(アプリに UI がある場合)や、ユーザーが実行できるコマンドライン スクリプトを提供します。
  • Google アカウントへのアクセスの許可を取り消すことができる旨をユーザーに知らせます。これにより、更新トークンが取り消されます。アプリケーションを再度使用するには、ユーザーがアクセスを再承認する必要があります。

デバイスの使用が終了したら、デバイスからすべてのトークンを消去する必要があります。

詳しくは、OAuth 2.0 を使用して Google API にアクセスするをご覧ください。