¿Te interesa compartir tus comentarios sobre la API de Google Ads? Regístrate para que te inviten a participar en la investigación sobre usuarios.

Se usó la API de Cloud Translation para traducir esta página.

Protege tus credenciales

En esta guía, se muestra cómo asegurarte de que tu aplicación y las credenciales del usuario sean seguras.

Completa la verificación de la app de OAuth

El alcance de OAuth 2.0 para la API de Google Ads se clasifica como un alcance restringido, lo que significa que debes completar el proceso de verificación de la aplicación de OAuth antes de llevarla a producción. Consulta la documentación de Google Identity y el artículo del Centro de ayuda para obtener más información.

Protege las credenciales de la aplicación

Debes proteger el ID de cliente y el secreto de cliente de OAuth 2.0 de tu aplicación. Estas credenciales ayudan a los usuarios y a Google a identificar tu aplicación y, por lo tanto, deben manejarse con cuidado. Debes tratar estas credenciales de la aplicación como contraseñas. No las compartas con mecanismos no seguros, como publicar en foros públicos, enviar archivos de configuración que contengan estas credenciales en archivos adjuntos de correo electrónico, codificarlas de forma permanente o confirmarlas en un repositorio de código. Te recomendamos que uses un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager, siempre que sea posible.

Si se vulneran tus secretos de cliente de OAuth 2.0, puedes restablecerlos. También se puede restablecer un token de desarrollador.

Protege el token de desarrollador

El token de desarrollador te permite realizar llamadas a la API a una cuenta, pero no tiene restricciones sobre las cuentas con las que se puede usar para realizar las llamadas. Como resultado, otra persona puede usar un token de desarrollador comprometido para realizar llamadas que se atribuyen a tu aplicación. Para evitar esta situación, toma estas medidas preventivas:

Trata tu token de desarrollador como una contraseña. No los compartas con mecanismos no seguros, como publicar en foros públicos o enviar archivos de configuración que contengan los tokens de desarrollador como archivo adjunto de correo electrónico. Te recomendamos que uses un gestor de secretos, como Secret Manager de Google Cloud o AWS Secret Manager, siempre que sea posible.
Si tu token de desarrollador está comprometido, debes restablecerlo.
- Accede a la cuenta de administrador de Google Ads que usaste cuando solicitaste acceso a la API de Google Ads.
- Navega a Herramientas y configuración > Centro de la API.
- Haz clic en la flecha desplegable junto a Token de desarrollador.
- Haz clic en el vínculo Restablecer token. Tu token de desarrollador anterior debería dejar de funcionar de inmediato.
- Actualiza la configuración de producción de tu aplicación para usar el nuevo token de desarrollador.

Protege las cuentas de servicio

Las cuentas de servicio requieren la identidad temporal en todo el dominio para funcionar correctamente con la API de Google Ads. Además, debes ser cliente de Google Workspace para configurar la identidad temporal en todo el dominio. Por estos motivos, no te recomendamos que uses cuentas de servicio cuando realices llamadas a la API de Google Ads. Sin embargo, si decides usar cuentas de servicio, debes protegerlas de la siguiente manera:

Trata la clave de la cuenta de servicio y el archivo JSON como contraseñas. Asegúralos con un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager, siempre que sea posible.
Sigue las prácticas recomendadas adicionales de Google Cloud para proteger y administrar tus cuentas de servicio.

Protege los tokens de usuario

Si tu app autoriza a varios usuarios, debes seguir pasos adicionales para proteger los tokens de actualización y acceso de los usuarios. Almacena los tokens de forma segura en reposo y nunca los transmitas en texto sin formato. Usa un sistema de almacenamiento seguro adecuado para tu plataforma.

Controla la revocación y el vencimiento del token de actualización

Si tu app solicita un token de actualización de OAuth 2.0 como parte de la autorización, también debes controlar su invalidación o vencimiento. Los tokens de actualización pueden invalidarse por varios motivos, y tu aplicación debe responder de forma elegante, ya sea volviendo a autorizar al usuario durante su próxima sesión de acceso o limpiando sus datos según corresponda. Las tareas sin conexión, como las tareas cron, deben detectar y registrar las cuentas cuyos tokens de actualización vencieron, en lugar de seguir realizando solicitudes fallidas. Google podría limitar las aplicaciones que generen altos niveles de errores durante un período prolongado para mantener la estabilidad de los servidores de la API.

Administra el consentimiento para varios permisos

Si tu app solicita autorización para varios permisos de OAuth 2.0, es posible que el usuario no otorgue todos los permisos de OAuth que solicitaste. Tu app debe controlar la denegación de permisos inhabilitando las funciones relevantes. Puedes volver a solicitarle al usuario que otorgue el permiso solo después de que indique claramente su intención de usar la función específica que requiere el permiso. Usa la autorización incremental para solicitar los permisos de OAuth adecuados en esos casos.

Si las funciones básicas de tu app requieren varios permisos, explícale este requisito al usuario antes de solicitarle su consentimiento.

Descripción general

Niveles de acceso