Вот несколько рекомендаций по безопасности и конфиденциальности для разработчиков, использующих API Google Assistant в своих проектах.
API и авторизация приложений
Любое приложение, использующее API Google Assistant, должно иметь учетные данные авторизации, которые идентифицируют приложение на сервере аутентификации Google. Обычно эти учетные данные хранятся в загруженном файле client_secret_<client-id>.json
. Обязательно сохраните этот файл в месте, доступном только вашему приложению.
Ваше приложение может предложить пользователю предоставить ему доступ к своей учетной записи Google. Если предоставлено, ваше приложение может запросить токен доступа для этого пользователя. Срок действия этих токенов истекает, но их можно обновить.
Незащищенные токены обновления на устройстве представляют значительную угрозу безопасности. Убедитесь, что ваше приложение:
- Сохраняет токены обновления в безопасном месте.
- Обеспечивает простой способ удаления токенов с устройства. Например, предоставьте кнопку «Выход», которая очищает токен (если приложение имеет пользовательский интерфейс), или сценарий командной строки, который может выполнить пользователь.
- Сообщает пользователям, что они могут деавторизовать доступ к своей учетной записи Google. Это отменяет токен обновления; чтобы снова использовать приложение, пользователю необходимо будет повторно разрешить доступ.
Когда вы закончите использовать устройство на постоянной основе, вам следует удалить с него все токены.
Дополнительную информацию см. в разделе Использование OAuth 2.0 для доступа к API Google .