ต่อไปนี้เป็นหลักเกณฑ์ด้านความปลอดภัยและความเป็นส่วนตัวสำหรับนักพัฒนาซอฟต์แวร์ที่ใช้ Google Assistant API ในโครงการของตน
การให้สิทธิ์ API และแอปพลิเคชัน
แอปพลิเคชันที่ใช้ Google Assistant API ต้องมีข้อมูลเข้าสู่ระบบการให้สิทธิ์ที่ระบุแอปพลิเคชันกับเซิร์ฟเวอร์การตรวจสอบสิทธิ์ของ Google
โดยปกติแล้ว ข้อมูลเข้าสู่ระบบเหล่านี้จะจัดเก็บไว้ในไฟล์ client_secret_<client-id>.json ที่ดาวน์โหลดมา โปรดเก็บไฟล์นี้ในตำแหน่งที่แอปพลิเคชันของคุณสามารถเข้าถึงได้เท่านั้น
แอปพลิเคชันของคุณอาจแจ้งให้ผู้ใช้ให้สิทธิ์เข้าถึงบัญชี Google ของตน หากได้รับอนุญาต แอปพลิเคชันของคุณจะขอโทเค็นเพื่อการเข้าถึงของผู้ใช้รายนั้นได้ โทเค็นเหล่านี้จะหมดอายุ แต่สามารถรีเฟรชได้
โทเค็นการรีเฟรชที่ไม่มีการป้องกันในอุปกรณ์อาจมีความเสี่ยงด้านความปลอดภัยอย่างมาก ตรวจสอบว่าแอปพลิเคชัน
- จัดเก็บโทเค็นการรีเฟรชไว้ในที่ปลอดภัย
- มอบวิธีง่ายๆ ในการล้างโทเค็นออกจากอุปกรณ์ เช่น มอบปุ่ม "ออกจากระบบ" ที่ล้างโทเค็น (หากแอปพลิเคชันมี UI) หรือสคริปต์บรรทัดคำสั่งที่ผู้ใช้เรียกใช้ได้
- แจ้งให้ผู้ใช้ทราบว่าสามารถยกเลิกการให้สิทธิ์เข้าถึงบัญชี Google ของตน การดำเนินการนี้จะเพิกถอนโทเค็นการรีเฟรช หากต้องการใช้แอปพลิเคชันอีกครั้ง ผู้ใช้จะต้องให้สิทธิ์การเข้าถึงอีกครั้ง
เมื่อคุณใช้อุปกรณ์อย่างถาวรเสร็จแล้ว คุณควรล้างโทเค็นทั้งหมดออกจากอุปกรณ์นั้น
สำหรับข้อมูลเพิ่มเติม โปรดดูที่การใช้ OAuth 2.0 เพื่อเข้าถึง Google API