Czy chcesz podzielić się opinią na temat interfejsu Google Ads API? Zarejestruj się, aby otrzymać zaproszenie do udziału w badaniach opinii użytkowników.

Ta strona została przetłumaczona przez Cloud Translation API.

Zabezpieczanie danych logowania
Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.

Z tego przewodnika dowiesz się, jak zapewnić bezpieczeństwo aplikacji i danych logowania użytkownika.

Przeprowadź weryfikację aplikacji OAuth

Zakres OAuth 2.0 dla interfejsu Google Ads API jest klasyfikowany jako zakres ograniczony, co oznacza, że przed wdrożeniem aplikacji w wersji produkcyjnej musisz przejść proces weryfikacji aplikacji OAuth. Więcej informacji znajdziesz w dokumentacji Google Identity i tym artykule w Centrum pomocy.

Zabezpieczanie danych logowania aplikacji

Należy zabezpieczyć identyfikator klienta OAuth 2.0 i tajny klucz klienta aplikacji. Te dane uwierzytelniające pomagają użytkownikom i Google identyfikować Twoją aplikację, dlatego należy je traktować ostrożnie. Traktuj te dane logowania jak hasła. Nie udostępniaj ich za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych, wysyłanie plików konfiguracyjnych zawierających te dane logowania w załącznikach e-maili, zakodowanie danych logowania w kodzie lub ich zapisanie w repozytorium kodu. Zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager czy AWS Secret Manager.

Jeśli tajne klucze klienta OAuth 2.0 zostaną skompromitowane, możesz je zresetować. Token dewelopera można też zresetować.

Zabezpieczenie tokenu programisty

Token dewelopera umożliwia wywoływanie interfejsu API na koncie, ale nie ma żadnych ograniczeń dotyczących kont, na których można go używać. W efekcie ktoś inny może używać skradzionego tokena dewelopera do nawiązywania połączeń przypisanych do Twojej aplikacji. Aby uniknąć tej sytuacji, wykonaj te działania zapobiegawcze:

Traktuj token dewelopera jak hasło. Nie udostępniaj ich za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych czy wysyłanie plików konfiguracyjnych zawierających tokeny deweloperów jako załączniki e-maila. Zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Secret Manager w Google Cloud lub AWS Secret Manager.
Jeśli Twój token dewelopera został naruszony, zresetuj go.
- Zaloguj się na konto menedżera Google Ads, którego użyłeś/użyłaś podczas składania wniosku o dostęp do interfejsu Google Ads API.
- Kliknij Narzędzia i ustawienia > Centrum interfejsów API.
- Kliknij strzałkę menu obok opcji Token dewelopera.
- Kliknij link Resetuj token. Stary token programisty powinien przestać działać natychmiast.
- Zaktualizuj konfigurację produkcyjną aplikacji, aby używać nowego tokenu dewelopera.

Zabezpieczanie kont usługi

Aby konta usługi mogły prawidłowo działać z interfejsem Google Ads API, muszą mieć uprawnienia do podszywania się w całej domenie. Aby skonfigurować podszywanie się w całej domenie, musisz być klientem Google Workspace. Z tych powodów nie zalecamy używania kont usług podczas wywoływania interfejsu Google Ads API. Jeśli jednak zdecydujesz się używać kont usług, zabezpiecz je w ten sposób:

Traktuj klucz konta usługi i plik JSON jak hasła. W miarę możliwości chronić je za pomocą menedżera obiektów tajnych, takiego jak Secret Manager w Google Cloud lub AWS Secret Manager.
Aby zabezpieczyć konta usługi i nimi zarządzać, stosuj dodatkowe sprawdzone metody Google Cloud.

Zabezpieczanie tokenów użytkownika

Jeśli Twoja aplikacja autoryzuje wielu użytkowników, musisz podjąć dodatkowe kroki, aby chronić tokeny odświeżania i dostępu użytkowników. Przechowuj tokeny w bezpiecznym miejscu w Restu i nigdy nie przesyłaj ich w postaci zwykłego tekstu. Używaj systemu bezpiecznego przechowywania odpowiedniego dla Twojej platformy.

Obsługa unieważnienia i wygaśnięcia tokena odświeżania

Jeśli Twoja aplikacja w ramach autoryzacji prosi o token odświeżania OAuth 2.0, musisz też obsługiwać ich unieważnienie lub wygaśnięcie. Tokeny odświeżania mogą być unieważniane z różnych powodów, a Twoja aplikacja powinna odpowiednio na nie reagować, na przykład prosząc użytkownika o ponowne udzielenie autoryzacji podczas następnej sesji logowania lub odpowiednio usuwając jego dane. Zadania offline, takie jak zadania cron, powinny wykrywać i rejestrować konta, których tokeny odświeżania wygasły, zamiast kontynuować wysyłanie nieudanych żądań. Aby zapewnić stabilność serwerów interfejsu API, Google może ograniczyć działanie aplikacji, które przez dłuższy czas generują dużą liczbę błędów.

Zarządzanie zgodą na wykorzystanie danych w wielu zakresach

Jeśli Twoja aplikacja żąda autoryzacji dla wielu zakresów OAuth 2.0, użytkownik może nie przyznać wszystkich zakresów OAuth, o które prosisz. Aplikacja powinna obsługiwać odmowę zakresów, wyłączając odpowiednie funkcje. Możesz poprosić użytkownika o ponowne wyrażenie zgody dopiero po tym, jak wyraźnie wskaże, że zamierza użyć określonej funkcji, która wymaga dostępu do danych. W takich przypadkach użyj uwierzytelniania stopniowego, aby poprosić o odpowiednie zakresy OAuth.

Jeśli podstawowe funkcje aplikacji wymagają wielu zakresów, przed wyświetleniem prośby o zgodę wyjaśnij to użytkownikowi.