Únete a nosotros en vivo en Discord en el servidor de la Comunidad de Publicidad y Medición de Google y en YouTube el 25 de junio a las 10:00 a.m. (hora del este de EE.UU.) Analizaremos las nuevas funciones agregadas en la versión 24.2 de la API de Google Ads.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Protege tus credenciales

En esta guía, se muestra cómo asegurarte de que tu aplicación y las credenciales de usuario sean seguras.

Completa la verificación de la app de OAuth

El permiso de OAuth 2.0 para la API de Google Ads se clasifica como un permiso restringido, lo que significa que debes completar el proceso de verificación de la aplicación de OAuth antes de poner en producción tu aplicación. Consulta la documentación de Google Identity, el artículo del Centro de ayuda sobre apps no verificadas y los documentos para configurar la pantalla de consentimiento de OAuth para obtener más información.

Protege las credenciales de la aplicación

Debes proteger el ID de cliente y el secreto de cliente de OAuth 2.0 de tu aplicación. Estas credenciales ayudan a tus usuarios y a Google a identificar tu aplicación y, por lo tanto, deben manejarse con cuidado. Debes tratar estas credenciales de la aplicación como contraseñas. No las compartas con mecanismos inseguros, como publicarlas en foros públicos, enviar archivos de configuración que contengan estas credenciales en archivos adjuntos de correo electrónico, codificar las credenciales de forma rígida o confirmarlas en un repositorio de código. Te recomendamos que uses un administrador de secretos, como Google Cloud Secret manager o AWS Secret Manager, cuando sea posible.

Si se vulneran tus secretos de cliente de OAuth 2.0, puedes restablecerlos. También se puede restablecer un token de desarrollador.

Protege el token de desarrollador

El token de desarrollador te permite realizar llamadas a la API a una cuenta, pero no tiene restricciones sobre las cuentas con las que se puede usar para realizar las llamadas. Como resultado, otra persona puede usar un token de desarrollador vulnerado para realizar llamadas que se atribuyen a tu aplicación. Para evitar esta situación, toma estas medidas preventivas:

Trata tu token de desarrollador como una contraseña. No lo compartas con mecanismos inseguros, como publicarlo en foros públicos o enviar archivos de configuración que contengan los tokens de desarrollador como un archivo adjunto de correo electrónico. Te recomendamos que uses un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager, cuando sea posible.
Si se vulnera tu token de desarrollador, debes restablecerlo.
- Accede a la cuenta de administrador de Google Ads que usaste cuando solicitaste la API de Google Ads.
- Navega a Herramientas y configuración > Centro de APIs.
- Haz clic en la flecha desplegable que se encuentra junto a Token de desarrollador.
- Haz clic en el vínculo Restablecer token. Tu token de desarrollador anterior debería dejar de funcionar de inmediato.
- Actualiza la configuración de producción de tu aplicación para usar el nuevo token de desarrollador.

Protege las cuentas de servicio

Las cuentas de servicio requieren la suplantación de todo el dominio para funcionar correctamente con la API de Google Ads. Además, debes ser cliente de Google Workspace para configurar la suplantación de todo el dominio. Por estos motivos, no recomendamos usar cuentas de servicio cuando se realizan llamadas a la API de Google Ads. Sin embargo, si decides usar cuentas de servicio, debes protegerlas de la siguiente manera:

Trata la clave de tu cuenta de servicio y el archivo JSON como contraseñas. Protégelos con un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager, cuando sea posible.
Sigue las prácticas recomendadas adicionales de Google Cloud para proteger y administrar tus cuentas de servicio.

Protege los tokens de usuario

Si tu app autoriza a varios usuarios, debes tomar medidas adicionales para proteger los tokens de acceso y actualización de los usuarios. Almacena los tokens de forma segura en reposo y nunca los transmitas en texto sin formato. Usa un sistema de almacenamiento seguro adecuado para tu plataforma.

Controla la revocación y el vencimiento del token de actualización

Si tu app solicita un token de actualización de OAuth 2.0 como parte de la autorización, también debes controlar su invalidación o vencimiento. Los tokens de actualización se pueden invalidar por varios motivos, y tu aplicación debe responder con facilidad, ya sea volviendo a autorizar al usuario durante su próxima sesión de acceso o limpiando sus datos según corresponda. Los trabajos sin conexión, como los trabajos cron, deben detectar y registrar las cuentas cuyos tokens de actualización vencieron, en lugar de seguir realizando solicitudes fallidas. Google podría limitar las aplicaciones que generan altos niveles de errores durante un período prolongado para mantener la estabilidad de los servidores de la API.

Administra el consentimiento para varios permisos

Si tu app solicita autorización para varios permisos de OAuth 2.0, es posible que el usuario no otorgue todos los permisos de OAuth que solicitaste. Tu app debe controlar la denegación de permisos inhabilitando las funciones pertinentes. Puedes volver a solicitarle al usuario solo después de que haya indicado claramente su intención de usar la función específica que requiere el permiso. Usa la autorización incremental para solicitar los permisos de OAuth adecuados en esos casos.

Si las funciones básicas de tu app requieren varios permisos, explícale este requisito al usuario antes de solicitar su consentimiento.

Introducción

Niveles de acceso