Práticas recomendadas de privacidade e segurança

Veja algumas diretrizes de segurança e privacidade para desenvolvedores que usam a API Google Assistente nos projetos deles.

Autorização de API e aplicativo

Qualquer aplicativo que use a API Google Assistant precisa ter credenciais de autorização que identifiquem o aplicativo para o servidor de autenticação do Google. Normalmente, essas credenciais são armazenadas em um arquivo client_secret_<client-id>.json transferido por download. Armazene esse arquivo em um local que somente seu aplicativo possa acessar.

O aplicativo pode solicitar que o usuário conceda acesso à Conta do Google dele. Se concedido, seu aplicativo pode solicitar um token de acesso para esse usuário. Esses tokens expiram, mas podem ser atualizados.

Os tokens de atualização desprotegidos em um dispositivo representam um risco significativo à segurança. Verifique se o aplicativo:

  • Armazena os tokens de atualização em um local seguro.
  • Fornece uma maneira fácil de limpar tokens do dispositivo. Por exemplo, forneça um botão "Sair" que limpe um token (se o aplicativo tiver uma interface) ou um script de linha de comando que o usuário possa executar.
  • Informa aos usuários que eles podem desautorizar o acesso à Conta do Google. Isso revoga o token de atualização. Para usar o aplicativo novamente, o usuário precisará autorizar o acesso outra vez.

Quando terminar de usar o dispositivo permanentemente, limpe todos os tokens dele.

Para mais informações, consulte Como usar o OAuth 2.0 para acessar as APIs do Google.