Im Folgenden finden Sie einige Sicherheits- und Datenschutzrichtlinien für Entwickler, die die Google Assistant API in ihren Projekten verwenden.
API- und Anwendungsautorisierung
Jede Anwendung, die die Google Assistant API verwendet, muss Autorisierungsanmeldedaten haben, mit denen die Anwendung für den Authentifizierungsserver von Google identifiziert wird.
In der Regel werden diese Anmeldedaten in einer heruntergeladenen Datei client_secret_<client-id>.json gespeichert. Speichern Sie die Datei an einem Ort, auf den nur Ihre Anwendung zugreifen kann.
In Ihrer Anwendung kann der Nutzer aufgefordert werden, Zugriff auf sein Google-Konto zu gewähren. Wenn Sie diese Option nutzen, kann Ihre Anwendung ein Zugriffstoken für diesen Nutzer anfordern. Diese Tokens laufen ab, können aber aktualisiert werden.
Ungeschützte Aktualisierungstokens auf einem Gerät stellen ein erhebliches Sicherheitsrisiko dar. Sorgen Sie dafür, dass Ihre Anwendung:
- Die Aktualisierungstokens werden an einem sicheren Ort gespeichert.
- Bietet eine einfache Möglichkeit zum Löschen von Tokens vom Gerät. Gib beispielsweise die Schaltfläche „Abmelden“ an, mit der ein Token (wenn die Anwendung eine UI hat) oder ein Befehlszeilenskript, das der Nutzer ausführen kann, gelöscht wird.
- Nutzer werden darüber informiert, dass sie den Zugriff auf ihr Google-Konto deaktivieren können. Dadurch wird das Aktualisierungstoken widerrufen. Der Nutzer muss den Zugriff noch einmal autorisieren, um die Anwendung wieder zu verwenden.
Wenn Sie das Gerät dauerhaft verwendet haben, sollten Sie alle Tokens darauf löschen.
Weitere Informationen finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.