本文档介绍了如何向 Ad Manager API 进行身份验证。身份验证方式取决于您使用的界面和运行代码的环境,但所有 API 请求都必须包含具有 Ad Manager API 作用域的访问令牌。
Ad Manager 客户端库使用应用默认凭据生成具有 Ad Manager API 范围的访问令牌。本指南介绍了如何配置应用默认凭据。
如果您未使用客户端库,则仍需创建凭据 并使用它们来对请求进行授权
如需详细了解身份验证和授权,请参阅使用 OAuth 2.0 指南。
确定您的身份验证类型
| 身份验证类型 | 说明 |
|---|---|
| 服务账号 | 如果您想以专用账号(而非特定用户)的身份进行身份验证,请选择此选项。 了解详情。 |
| Web 应用 | 如果您想以授权您的应用访问其 Ad Manager 数据的任何用户身份进行身份验证,请选择此选项。 了解详情 |
| 本地开发 | 如果您想使用自己的 Google 账号或本地开发环境中的服务账号进行身份验证,请选择此选项。 |
启用 Ad Manager API
在 Google API 控制台 Cloud 项目中启用 Ad Manager API。
如果系统提示您选择一个项目或创建一个新项目,请视需要选择相应选项。
创建凭据
点击身份验证类型所对应的标签,然后按照相应说明 创建凭据:
在 Google Cloud 上
如需对在 Google Cloud 上运行的工作负载进行身份验证,您可以使用 与代码所在的计算资源关联的服务账号 。
例如,您可以将服务账号关联到 Compute Engine 虚拟机 (VM) 实例、Cloud Run 服务或 Dataflow 作业。这种方法 是 Google Cloud 控制台上运行的代码的首选身份验证方法, 计算资源
如需了解可以将服务账号关联到的资源,以及有关将服务账号关联到资源的帮助,请参阅有关关联服务账号的文档。
在本地或在其他云服务提供商上
如需在 Google Cloud 外部设置身份验证,首选方法是使用工作负载身份联合;您需要创建一个凭据配置文件并将 GOOGLE_APPLICATION_CREDENTIALS 环境变量设置为指向它。相较于
创建服务账号密钥的过程
如果您无法配置工作负载身份联合,则必须创建一个服务账号并为该服务账号创建密钥:
在“凭据”页面上,选择创建凭据,然后 选择服务账号。
点击要创建的服务账号的电子邮件地址 。
点击密钥标签页。
点击添加密钥下拉菜单,然后选择创建新密钥。
选择 JSON 作为密钥类型,然后点击创建。
将环境变量
GOOGLE_APPLICATION_CREDENTIALS设置为 JSON 文件的路径。
Linux 或 macOS
export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILE_PATH Windows
set GOOGLE_APPLICATION_CREDENTIALS=KEY_FILE_PATH 如果系统提示,请选择您启用了 Ad Manager API 的项目。
在“凭据”页面上,选择创建凭据,然后选择 OAuth 客户端 ID。
选择 Web 应用应用类型。
填写表单,然后点击创建。使用 PHP、Java、Python、Ruby 和 .NET 等语言和框架的应用必须指定已获授权的重定向 URI。重定向 URI 是 OAuth 2.0 服务器可以向其发送响应的端点。这些端点必须遵守 Google 的验证规则。
创建凭据后,下载 client_secret.json 文件。将文件安全地存储在只有您的应用可以访问的位置。
接下来,按照相应步骤获取 OAuth 2.0 访问令牌
在本地环境中设置应用默认凭据 (ADC)。
安装 Google Cloud CLI,然后通过运行以下命令对其进行初始化 命令:
gcloud init为您的 Google 账号创建本地身份验证凭据并设置 启用了 Ad Manager API 的项目的 ID:
gcloud auth application-default login --scopes="https://www.googleapis.com/auth/admanager"
gcloud auth application-default set-quota-project PROJECT_ID 或者,以服务账号的身份设置环境进行身份验证
将变量 GOOGLE_APPLICATION_CREDENTIALS 设置为密钥文件的路径。
Linux 或 macOS
export GOOGLE_APPLICATION_CREDENTIALS=KEY_FILE_PATH Windows
set GOOGLE_APPLICATION_CREDENTIALS=KEY_FILE_PATH 配置您的 Ad Manager 广告资源网
- 前往您的 Ad Manager 广告资源网。
- 点击管理标签。
- 确保已启用 API 访问权限。
- 点击添加服务账号用户按钮。
- 在表单中填写服务账号电子邮件地址。通过 必须将服务账号用户添加到相应的角色和小组 API 集成所需的资源
- 点击保存按钮。系统应会显示一条消息,确认已添加您的服务账号。
- 查看现有的服务账号用户,方法是转到“用户”标签页,然后 点击服务账号过滤条件。
- 前往您的 Ad Manager 广告资源网。
- 点击管理标签。
- 确保已启用 API 访问权限。
- 前往您的 Ad Manager 广告资源网。
- 点击管理标签。
- 确保已启用 API 访问权限。
不使用客户端库
即使您不使用客户端库,我们仍强烈建议您使用 OAuth2 库进行身份验证。
有关获取访问令牌的详细说明,请参阅 结合使用 OAuth2 和 Google API。
访问令牌
在对 API 的请求中包含您的访问令牌,方法是添加
access_token 查询参数或 Authorization HTTP 标头 Bearer 值。
尽可能使用 HTTP 标头,因为查询字符串通常会显示在服务器日志中。
例如:
GET /v1/networks/1234
Host: admanager.googleapis.com
Authorization: Bearer ya29.a0Ad52N3_shYLX
GET https://admanager.googleapis.com/v1/networks/1234?access_token=1/fFAGRNJru1FTz70BzhT3Zg
范围
每个访问令牌与一个或多个范围相关联。作用域控制着 访问令牌允许的资源和操作集。Ad Manager API 只有一个作用域。授权应由用户执行 产品内的级别
| 范围 | 权限 |
|---|---|
https://www.googleapis.com/auth/admanager
|
在 Google Ad Manager 中查看和管理您的广告系列。 |