Oto kilka wytycznych dotyczących bezpieczeństwa i prywatności dla deweloperów używających w swoich projektach interfejsu Google Assistant API.
Autoryzacja interfejsów API i aplikacji
Każda aplikacja korzystająca z interfejsu Google Assistant API musi mieć dane uwierzytelniające, które identyfikują ją na serwerze uwierzytelniania Google.
Zwykle dane logowania są przechowywane w pobranym pliku client_secret_<client-id>.json. Pamiętaj, aby zapisać ten plik w lokalizacji, do której ma dostęp tylko Twoja aplikacja.
Aplikacja może poprosić użytkownika o przyznanie jej dostępu do konta Google. Gdy przyznasz te uprawnienia, Twoja aplikacja może poprosić o token dostępu tego użytkownika. Tokeny te tracą ważność, ale można je odświeżyć.
Niechronione tokeny odświeżania na urządzeniu mogą stanowić poważne zagrożenie dla bezpieczeństwa. Upewnij się, że Twoja aplikacja:
- Tokeny odświeżania są przechowywane w bezpiecznym miejscu.
- Umożliwia łatwe usuwanie tokenów z urządzenia. Udostępnij na przykład przycisk „Wyloguj się”, który czyści token (jeśli aplikacja ma interfejs użytkownika), lub skrypt wiersza poleceń, który może wykonać użytkownik.
- Informuje użytkowników, że mogą cofnąć autoryzację dostępu do swojego konta Google. Spowoduje to unieważnienie tokena odświeżania. Aby ponownie użyć aplikacji, użytkownik musi ponownie autoryzować dostęp.
Gdy skończysz korzystać z urządzenia na stałe, usuń z niego wszystkie tokeny.
Więcej informacji znajdziesz w artykule na temat używania protokołu OAuth 2.0 do uzyskiwania dostępu do interfejsów API Google.