שיטות מומלצות לפרטיות ולאבטחה

ריכזנו כאן כמה הנחיות לגבי אבטחה ופרטיות למפתחים שמשתמשים ב-Google Assistant API בפרויקטים שלהם.

הרשאת API והרשאה לאפליקציות

לכל אפליקציה שמשתמשת ב-Google Assistant API חייבים להיות פרטי כניסה להרשאות שמזהים אותה לשרת האימות של Google. בדרך כלל, פרטי הכניסה האלה מאוחסנים בקובץ client_secret_<client-id>.json שהורדתם. חשוב לשמור את הקובץ במיקום שרק לאפליקציה שלכם יש גישה אליו.

האפליקציה עשויה לבקש מהמשתמש להעניק לה גישה לחשבון Google שלו. אם מעניקים את ההרשאה, האפליקציה יכולה לבקש אסימון גישה עבור המשתמש הזה. לאסימונים האלה יש תאריך תפוגה, אבל אפשר לרענן אותם.

אסימוני רענון לא מוגנים במכשיר נחשבים לסיכון אבטחה משמעותי. ודאו שהאפליקציה:

• שומר את אסימוני הרענון במקום מאובטח.
• זו דרך קלה להסיר אסימונים מהמכשיר. לדוגמה, כדאי להוסיף לחצן 'יציאה' שמנקה אסימון (אם לאפליקציה יש ממשק משתמש) או סקריפט של שורת פקודה שהמשתמש יכול לבצע.
• השירות מודיע למשתמשים שהם יכולים לבטל את הרשאת הגישה לחשבון Google שלהם. אסימון הרענון יבוטל. כדי להשתמש שוב באפליקציה, המשתמשים יצטרכו לאשר מחדש את הגישה.

כשמסיימים להשתמש במכשיר באופן קבוע, יש להסיר ממנו את כל האסימונים.

מידע נוסף זמין במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.