जो डेवलपर अपने प्रोजेक्ट में Google Assistant API का इस्तेमाल करते हैं, उनके लिए यहां सुरक्षा और निजता से जुड़े कुछ दिशा-निर्देश दिए गए हैं.
एपीआई और ऐप्लिकेशन की अनुमति देना
Google Assistant API का इस्तेमाल करने वाले किसी भी ऐप्लिकेशन के पास ऐसे अनुमति वाले क्रेडेंशियल होने चाहिए जो उस ऐप्लिकेशन की पहचान Google के ऑथेंटिकेशन सर्वर पर करें.
आम तौर पर, ये क्रेडेंशियल डाउनलोड की गई client_secret_<client-id>.json फ़ाइल में सेव होते हैं. इस फ़ाइल को ऐसी जगह पर रखें जहां सिर्फ़ आपका ऐप्लिकेशन ऐक्सेस कर सके.
आपका ऐप्लिकेशन, उपयोगकर्ता से उसे उनके Google खाते का ऐक्सेस देने के लिए कह सकता है. अनुमति मिलने पर, आपका ऐप्लिकेशन उस उपयोगकर्ता के लिए ऐक्सेस टोकन का अनुरोध कर सकता है. ये टोकन खत्म हो जाते हैं, लेकिन इन्हें रीफ़्रेश किया जा सकता है.
डिवाइस पर असुरक्षित रीफ़्रेश टोकन का इस्तेमाल करने से सुरक्षा का बड़ा खतरा हो सकता है. पक्का करें कि आपका आवेदन:
- रीफ़्रेश टोकन को किसी सुरक्षित जगह पर सेव करता है.
- यह डिवाइस से टोकन हटाने का आसान तरीका देता है. उदाहरण के लिए, ऐसा "साइन आउट करें" बटन उपलब्ध कराएं जो किसी टोकन (अगर ऐप्लिकेशन में यूज़र इंटरफ़ेस (यूआई) है) या ऐसी कमांड लाइन स्क्रिप्ट को साफ़ करता हो जिसे उपयोगकर्ता एक्ज़ीक्यूट कर सकता है.
- उपयोगकर्ताओं को सूचना दी जाती है कि वे अपने Google खाते को, ऐक्सेस देने की अनुमति हटा सकते हैं. इससे रीफ़्रेश टोकन रद्द हो जाएगा; ऐप्लिकेशन का फिर से इस्तेमाल करने के लिए, उपयोगकर्ता को ऐक्सेस को फिर से अनुमति देनी होगी.
डिवाइस का हमेशा के लिए इस्तेमाल करने के बाद, आपको उससे सभी टोकन हटाने चाहिए.
ज़्यादा जानकारी के लिए, Google API को ऐक्सेस करने के लिए OAuth 2.0 का इस्तेमाल करना लेख पढ़ें.