Hướng dẫn này trình bày cách đảm bảo thông tin đăng nhập của người dùng và ứng dụng của bạn được bảo mật.
Hoàn tất quy trình xác minh ứng dụng OAuth
Phạm vi OAuth 2.0 cho Google Ads API được phân loại là phạm vi bị hạn chế. Điều này có nghĩa là bạn nên hoàn tất quy trình xác minh ứng dụng OAuth trước khi đưa ứng dụng vào hoạt động. Hãy xem tài liệu về Google Identity, bài viết trong Trung tâm trợ giúp về các ứng dụng chưa được xác minhvà tài liệu về cách thiết lập màn hình đồng ý OAuthđể tìm hiểu thêm.
Bảo mật thông tin đăng nhập của ứng dụng
Bạn nên bảo mật mã ứng dụng khách OAuth 2.0 và khoá bí mật của ứng dụng. Những thông tin đăng nhập này giúp người dùng và Google xác định ứng dụng của bạn. Do đó, bạn nên xử lý cẩn thận những thông tin đăng nhập này. Bạn nên coi những thông tin đăng nhập này của ứng dụng như mật khẩu. Đừng chia sẻ những thông tin này bằng các cơ chế không an toàn, chẳng hạn như đăng trên các diễn đàn công khai, gửi tệp cấu hình chứa những thông tin đăng nhập này trong tệp đính kèm email, mã hoá cứng thông tin đăng nhập hoặc cam kết những thông tin này với kho lưu trữ mã. Bạn nên sử dụng trình quản lý thông tin bí mật như Google Cloud Secret manager hoặc AWS Secret Manager nếu có thể.
Nếu khoá bí mật của ứng dụng OAuth 2.0 bị xâm phạm, bạn có thể đặt lại các khoá này. Bạn cũng có thể đặt lại mã của nhà phát triển.
Bảo mật mã của nhà phát triển
Mã của nhà phát triển cho phép bạn thực hiện các lệnh gọi API đến một tài khoản, nhưng không có hạn chế về tài khoản mà mã này có thể dùng để thực hiện các lệnh gọi. Do đó, người khác có thể sử dụng mã của nhà phát triển bị xâm phạm để thực hiện các lệnh gọi được gán cho ứng dụng của bạn. Để tránh trường hợp này, hãy thực hiện các biện pháp phòng ngừa sau:
Hãy coi mã của nhà phát triển như mật khẩu. Đừng chia sẻ mã này bằng các cơ chế không an toàn, chẳng hạn như đăng trên các diễn đàn công khai hoặc gửi tệp cấu hình chứa mã của nhà phát triển dưới dạng tệp đính kèm email. Bạn nên sử dụng trình quản lý thông tin bí mật như Google Cloud Secret Manager hoặc AWS Secret Manager nếu có thể.
Nếu mã của nhà phát triển bị xâm phạm, bạn nên đặt lại mã này.
- Đăng nhập vào tài khoản người quản lý Google Ads mà bạn đã dùng khi đăng ký Google Ads API.
- Chuyển đến Công cụ và cài đặt > Trung tâm API.
- Nhấp vào mũi tên thả xuống bên cạnh Mã của nhà phát triển.
- Nhấp vào đường liên kết Đặt lại mã. Mã của nhà phát triển cũ sẽ ngừng hoạt động ngay lập tức.
- Cập nhật cấu hình sản xuất của ứng dụng để sử dụng mã của nhà phát triển mới.
Bảo mật tài khoản dịch vụ
Tài khoản dịch vụ yêu cầu mạo danh trên toàn miền để hoạt động đúng cách với API Google Ads. Ngoài ra, bạn phải là khách hàng của Google Workspace để thiết lập tính năng mạo danh trên toàn miền. Vì những lý do này, chúng tôi không khuyến nghị sử dụng tài khoản dịch vụ khi thực hiện các lệnh gọi Google Ads API. Tuy nhiên, nếu quyết định sử dụng tài khoản dịch vụ, bạn nên bảo mật các tài khoản này như sau:
Hãy coi khoá tài khoản dịch vụ và tệp JSON như mật khẩu. Bảo mật các khoá này bằng trình quản lý thông tin bí mật như Google Cloud Secret Manager hoặc AWS Secret Manager nếu có thể.
Làm theo các phương pháp hay nhất bổ sung của Google Cloud để bảo mật và quản lý tài khoản dịch vụ.
Bảo mật mã thông báo của người dùng
Nếu ứng dụng của bạn cho phép nhiều người dùng, bạn nên thực hiện các bước bổ sung để bảo vệ mã làm mới và mã truy cập của người dùng. Lưu trữ mã thông báo một cách an toàn ở trạng thái nghỉ và không bao giờ truyền mã thông báo ở dạng văn bản thuần tuý. Sử dụng hệ thống lưu trữ an toàn phù hợp với nền tảng của bạn.
Xử lý việc thu hồi và hết hạn mã làm mới
Nếu ứng dụng của bạn yêu cầu mã làm mới OAuth 2.0 trong quá trình cấp quyền, bạn cũng phải xử lý việc vô hiệu hoá hoặc hết hạn mã này. Mã làm mới có thể bị vô hiệu hoá vì nhiều lý dovà ứng dụng của bạn nên phản hồi một cách phù hợp bằng cách cấp lại quyền cho người dùng trong phiên đăng nhập tiếp theo hoặc dọn dẹp dữ liệu của họ nếu thích hợp. Các công việc ngoại tuyến, chẳng hạn như công việc cron, nên phát hiện và ghi lại những tài khoản có mã làm mới đã hết hạn thay vì tiếp tục thực hiện các yêu cầu không thành công. Google có thể điều tiết các ứng dụng tạo ra nhiều lỗi trong một khoảng thời gian dài để duy trì tính ổn định của các máy chủ API.
Quản lý sự đồng ý cho nhiều phạm vi
Nếu ứng dụng của bạn yêu cầu cấp quyền cho nhiều phạm vi OAuth 2.0, thì người dùng có thể không cấp tất cả các phạm vi OAuth mà bạn đã yêu cầu. Ứng dụng của bạn nên xử lý việc từ chối phạm vi bằng cách tắt các tính năng có liên quan. Bạn chỉ có thể nhắc lại người dùng sau khi họ đã cho biết rõ ý định sử dụng tính năng cụ thể yêu cầu phạm vi đó. Trong những trường hợp như vậy, hãy sử dụng tính năng cấp quyền tăng dần để yêu cầu các phạm vi OAuth thích hợp.
Nếu các tính năng cơ bản của ứng dụng yêu cầu nhiều phạm vi, hãy giải thích yêu cầu này cho người dùng trước khi nhắc họ đồng ý.