다음은 프로젝트에서 Google Assistant API를 사용하는 개발자를 위한 몇 가지 보안 및 개인 정보 보호 가이드라인입니다.
API 및 애플리케이션 승인
Google Assistant API를 사용하는 모든 애플리케이션에는 Google의 인증 서버에서 애플리케이션을 식별하는 승인 사용자 인증 정보가 있어야 합니다.
일반적으로 이러한 사용자 인증 정보는 다운로드된 client_secret_<client-id>.json
파일에 저장됩니다. 내 애플리케이션만 액세스할 수 있는 위치에 이 파일을 저장해야 합니다.
애플리케이션에서 사용자에게 Google 계정에 대한 액세스 권한을 부여하라는 메시지를 표시할 수 있습니다. 액세스 토큰이 허용되면 애플리케이션에서 해당 사용자의 액세스 토큰을 요청할 수 있습니다. 이러한 토큰은 만료되지만 새로고침할 수 있습니다.
기기에서 보호되지 않는 갱신 토큰은 심각한 보안 위험을 초래할 수 있습니다. 애플리케이션이 다음 조건을 충족해야 합니다.
- 갱신 토큰을 안전한 위치에 저장합니다.
- 기기에서 토큰을 지우는 쉬운 방법을 제공합니다. 예를 들어 토큰 (애플리케이션에 UI가 있는 경우)을 삭제하는 '로그아웃' 버튼이나 사용자가 실행할 수 있는 명령줄 스크립트를 제공합니다.
- 사용자에게 Google 계정에 대한 액세스를 승인 취소할 수 있음을 알립니다. 이렇게 하면 갱신 토큰이 취소됩니다. 애플리케이션을 다시 사용하려면 사용자가 액세스를 다시 승인해야 합니다.
기기 사용을 마쳤으면 기기에서 모든 토큰을 삭제해야 합니다.
자세한 내용은 OAuth 2.0을 사용하여 Google API에 액세스하기를 참조하세요.