Z tego przewodnika dowiesz się, jak zabezpieczyć aplikację i dane logowania użytkownika.
Ukończ weryfikację aplikacji OAuth
Zakres protokołu OAuth 2.0 dla interfejsu Google Ads API jest sklasyfikowany jako zakres z ograniczeniami, co oznacza, że zanim opublikujesz aplikację, musisz przejść proces weryfikacji aplikacji OAuth. Więcej informacji znajdziesz w dokumentacji dotyczącej tożsamości Google i w tym artykule w Centrum pomocy.
Zabezpiecz dane logowania do aplikacji
Zabezpiecz identyfikator klienta i tajny klucz klienta OAuth 2.0 swojej aplikacji. Dane logowania pomagają użytkownikom i Google identyfikować Twoją aplikację, dlatego należy z nimi korzystać z rozwagą. Dane logowania do aplikacji należy traktować jak hasła. Nie udostępniaj ich za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych, wysyłanie plików konfiguracyjnych zawierających dane uwierzytelniające w załącznikach do e-maili, kodowanie na stałe danych logowania lub przekazywanie ich w repozytorium kodu. W miarę możliwości zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Jeśli Twoje tajne klucze klienta OAuth 2.0 zostały przejęte, możesz je zresetować. Token programisty można też zresetować.
Zabezpieczanie tokena programisty
Token programisty umożliwia wywoływanie konta przez interfejs API, ale nie ma ograniczeń dotyczących kont, na których można go używać do wykonywania wywołań. Zhakowany token programisty może więc zostać użyty przez inną osobę do wykonywania wywołań przypisanych do Twojej aplikacji. Aby tego uniknąć, podejmij te działania:
Traktuj swój token programisty jak hasło. Nie udostępniaj ich przy użyciu niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych lub wysyłanie plików konfiguracyjnych zawierających tokeny programisty w formie załącznika do e-maila. W miarę możliwości zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Jeśli token programisty zostanie przejęty, zresetuj go.
- Zaloguj się na konto menedżera Google Ads użyte do przesłania zgłoszenia do interfejsu Google Ads API.
- Kliknij Narzędzia i ustawienia > Centrum interfejsu API.
- Kliknij strzałkę w dół obok opcji Token programisty.
- Kliknij link Resetuj token. Dotychczasowy token programisty powinno natychmiast przestać działać.
- Zaktualizuj konfigurację produkcyjną aplikacji, aby korzystała z nowego tokena dewelopera.
Zabezpiecz konta usługi
Konta usługi wymagają podszywania się pod inne osoby w całej domenie do prawidłowego działania z interfejsem Google Ads API. Poza tym musisz być klientem Google Workspace, aby skonfigurować przejmowanie tożsamości w całej domenie. Dlatego odradzamy korzystanie z kont usługi podczas wykonywania wywołań interfejsu Google Ads API. Jeśli jednak zdecydujesz się na używanie kont usługi, zabezpiecz je w ten sposób:
Traktuj klucz konta usługi i plik JSON jako hasła. W miarę możliwości zabezpiecz je za pomocą menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Postępuj zgodnie z dodatkowymi sprawdzonymi metodami dotyczącymi Google Cloud, aby zabezpieczyć konta usługi i nimi zarządzać.
Zabezpieczanie tokenów użytkowników
Jeśli Twoja aplikacja autoryzuje wielu użytkowników, wykonaj dodatkowe czynności, aby chronić ich tokeny odświeżania i dostępu. Przechowuj tokeny w bezpiecznym spoczynku i nigdy nie przesyłaj ich jako zwykłego tekstu. Korzystaj z bezpiecznego systemu pamięci odpowiedniego dla Twojej platformy.
Obsługa unieważniania i wygaśnięcia tokena odświeżania
Jeśli Twoja aplikacja w ramach autoryzacji żąda tokena odświeżania OAuth 2.0, musisz też obsługiwać ich unieważnianie lub wygaśnięcie. Tokeny odświeżania mogą być z różnych powodów unieważnione, a aplikacja powinna reagować z uprzejmością przez ponowną autoryzację użytkownika podczas następnej sesji logowania lub wyczyszczenie jego danych. Zadania offline, takie jak zadania cron, powinny wykrywać i rejestrować konta, których tokeny odświeżania wygasły, zamiast przesyłać kolejne nieudane żądania. Google może ograniczać aplikacje, które generują wysokie poziomy błędów przez dłuższy czas, aby zachować stabilność serwerów API.
Zarządzanie zgodą na wiele zakresów
Jeśli Twoja aplikacja żąda autoryzacji dla wielu zakresów OAuth 2.0, użytkownik może nie przyznać wszystkich żądanych zakresów OAuth. Aplikacja powinna reagować na odmowy zakresów, wyłączając odpowiednie funkcje. Możesz zapytać użytkownika ponownie dopiero wtedy, gdy wyraźnie wyrazi on zamiar użycia określonej funkcji, która wymaga określonego zakresu. W takich przypadkach użyj autoryzacji przyrostowej, by zażądać odpowiednich zakresów OAuth.
Jeśli podstawowe funkcje Twojej aplikacji wymagają wielu zakresów, przed rozpoczęciem wyświetlania prośby o zgodę wyjaśnij użytkownikowi to wymaganie.