Sprawdzone metody ochrony prywatności i bezpieczeństwa

Oto kilka wytycznych dotyczących bezpieczeństwa i prywatności dla deweloperów używających w swoich projektach interfejsu Google Assistant API.

Autoryzacja interfejsów API i aplikacji

Każda aplikacja korzystająca z interfejsu Google Assistant API musi mieć dane uwierzytelniające, które identyfikują ją na serwerze uwierzytelniania Google. Zwykle dane logowania są przechowywane w pobranym pliku client_secret_<client-id>.json. Pamiętaj, aby zapisać ten plik w lokalizacji, do której ma dostęp tylko Twoja aplikacja.

Aplikacja może poprosić użytkownika o przyznanie jej dostępu do konta Google. Gdy przyznasz te uprawnienia, Twoja aplikacja może poprosić o token dostępu tego użytkownika. Tokeny te tracą ważność, ale można je odświeżyć.

Niechronione tokeny odświeżania na urządzeniu mogą stanowić poważne zagrożenie dla bezpieczeństwa. Upewnij się, że Twoja aplikacja:

• Tokeny odświeżania są przechowywane w bezpiecznym miejscu.
• Umożliwia łatwe usuwanie tokenów z urządzenia. Udostępnij na przykład przycisk „Wyloguj się”, który czyści token (jeśli aplikacja ma interfejs użytkownika), lub skrypt wiersza poleceń, który może wykonać użytkownik.
• Informuje użytkowników, że mogą cofnąć autoryzację dostępu do swojego konta Google. Spowoduje to unieważnienie tokena odświeżania. Aby ponownie użyć aplikacji, użytkownik musi ponownie autoryzować dostęp.

Gdy skończysz korzystać z urządzenia na stałe, usuń z niego wszystkie tokeny.

Więcej informacji znajdziesz w artykule na temat używania protokołu OAuth 2.0 do uzyskiwania dostępu do interfejsów API Google.