隐私权和安全性最佳实践

以下是一些适用于在项目中使用 Google Assistant API 的开发者的安全和隐私权准则。

API 和应用授权

任何使用 Google Assistant API 的应用都必须具有授权凭据，用于向 Google 的身份验证服务器表明应用的身份。通常，这些凭据存储在下载的 client_secret_<client-id>.json 文件中。请务必将此文件存储在只有您的应用可以访问的位置。

您的应用可能会提示用户授予其 Google 帐号的访问权限。如果被授予，您的应用可以为该用户请求访问令牌。这些令牌会过期，但可以刷新。

设备上的未受保护的刷新令牌会带来重大安全风险。请确保您的应用满足以下要求：

• 将刷新令牌存储在安全的位置。
• 提供一种从设备清除令牌的简单方法。例如，提供可清除令牌的“退出”按钮（如果应用具有界面）或用户可以执行的命令行脚本。
• 通知用户，他们可以取消对 Google 帐号的访问权限。这会撤消刷新令牌；要再次使用应用，用户需要重新授予访问权限。

永久使用设备后，您应清除设备中的所有令牌。

有关详情，请参阅使用 OAuth 2.0 访问 Google API。