Quer compartilhar seu feedback sobre a API Google Ads? Faça sua inscrição para receber um convite para participar da pesquisa com usuários.

Esta página foi traduzida pela API Cloud Translation.

Proteger suas credenciais

Este guia mostra como garantir que as credenciais do aplicativo e do usuário estejam seguras.

Concluir a verificação do app OAuth

O escopo do OAuth 2.0 para a API Google Ads é classificado como um escopo restrito, o que significa que você precisa concluir o processo de verificação do aplicativo OAuth antes de colocar o aplicativo em produção. Consulte a documentação do Google Identity e o artigo da Central de Ajuda para saber mais.

Proteger as credenciais do aplicativo

É necessário proteger o ID e a chave secreta do cliente OAuth 2.0 do seu aplicativo. Essas credenciais ajudam os usuários e o Google a identificar seu aplicativo. Portanto, elas precisam ser tratadas com cuidado. Trate essas credenciais de app como senhas. Não compartilhe usando mecanismos não seguros, como postar em fóruns públicos, enviar arquivos de configuração contendo essas credenciais em anexos de e-mail, codificar as credenciais ou fazer o commit delas em um repositório de código. Recomendamos usar um gerenciador de segredos, como o Gerenciador de segredos do Google Cloud ou o AWS Secret Manager, sempre que possível.

Se as chaves secretas do cliente OAuth 2.0 forem comprometidas, você poderá redefini-las. Um token de desenvolvedor também pode ser redefinido.

Proteger o token de desenvolvedor

O token de desenvolvedor permite fazer chamadas de API para uma conta, mas não tem restrições sobre quais contas ele pode ser usado para fazer as chamadas. Como resultado, um token de desenvolvedor comprometido pode ser usado por outra pessoa para fazer chamadas atribuídas ao seu app. Para evitar esse cenário, tome estas medidas preventivas:

Trate seu token de desenvolvedor como uma senha. Não compartilhe usando mecanismos inseguros, como postar em fóruns públicos ou enviar arquivos de configuração que contenham os tokens de desenvolvedor como um anexo de e-mail. Recomendamos o uso de um gerenciador de segredos, como o Google Cloud Secret Manager ou o AWS Secret Manager, sempre que possível.
Se o token de desenvolvedor for comprometido, redefina-o.
- Faça login na conta de administrador do Google Ads que você usou ao se inscrever para a API Google Ads.
- Acesse Ferramentas e configurações > Centro de APIs.
- Clique na seta suspensa ao lado de Token do desenvolvedor.
- Clique no link Redefinir token. O token de desenvolvedor antigo vai deixar de funcionar imediatamente.
- Atualize a configuração de produção do seu app para usar o novo token de desenvolvedor.

Proteger as contas de serviço

As contas de serviço exigem a falsificação de identidade em todo o domínio para funcionar corretamente com a API Google Ads. Além disso, você precisa ser cliente do Google Workspace para configurar a falsificação de identidade em todo o domínio. Por esses motivos, não recomendamos o uso de contas de serviço ao fazer chamadas da API Google Ads. No entanto, se você decidir usar contas de serviço, elas precisarão ser protegidas da seguinte maneira:

Trate a chave da conta de serviço e o arquivo JSON como senhas. Proteja-os usando um gerenciador de segredos, como o Google Cloud Secret Manager ou o AWS Secret Manager, sempre que possível.
Siga as práticas recomendadas do Google Cloud para proteger e gerenciar suas contas de serviço.

Proteger os tokens do usuário

Se o app autorizar vários usuários, você precisará seguir outras etapas para proteger os tokens de atualização e acesso dos usuários. Armazene os tokens com segurança em repouso e nunca os transmita em texto simples. Use um sistema de armazenamento seguro adequado para sua plataforma.

Processar a revogação e a expiração do token de atualização

Se o app solicitar o token de atualização do OAuth 2.0 como parte da autorização, você também precisará processar a invalidação ou expiração dele. Os tokens de atualização podem ser invalidados por vários motivos, e seu aplicativo precisa responder corretamente, autorizando novamente o usuário durante a próxima sessão de login ou limpando os dados conforme apropriado. Os jobs off-line, como jobs cron, precisam detectar e registrar contas cujos tokens de atualização expiraram, em vez de continuar fazendo solicitações com falha. O Google pode limitar aplicativos que geram altos níveis de erros por um período prolongado para manter a estabilidade dos servidores de API.

Gerenciar o consentimento para vários escopos

Se o app solicitar autorização para vários escopos do OAuth 2.0, o usuário poderá não conceder todos os escopos do OAuth que você solicitou. O app precisa processar a negação de escopos desativando os recursos relevantes. Só é possível solicitar novamente ao usuário depois que ele indicar claramente a intenção de usar o recurso específico que exige o escopo. Use a autorização incremental para solicitar os escopos OAuth apropriados nesses casos.

Se os recursos básicos do app exigirem vários escopos, explique essa necessidade ao usuário antes de solicitar o consentimento.

Visão geral

Níveis de acesso