Bonnes pratiques en matière de confidentialité et de sécurité

Voici quelques consignes de sécurité et de confidentialité destinées aux développeurs qui utilisent l'API Assistant Google dans leurs projets.

Autorisation des API et des applications

Toute application qui utilise l'API de l'Assistant Google doit disposer d'identifiants d'autorisation qui l'identifient auprès du serveur d'authentification de Google. En règle générale, ces identifiants sont stockés dans un fichier client_secret_<client-id>.json téléchargé. Veillez à stocker ce fichier dans un emplacement auquel seule votre application peut accéder.

Votre application peut inviter l'utilisateur à lui accorder l'accès à son compte Google. Si l'autorisation est accordée, votre application peut demander un jeton d'accès pour cet utilisateur. Ces jetons expirent, mais peuvent être actualisés.

Les jetons d'actualisation non protégés sur un appareil présentent un risque de sécurité important. Assurez-vous que votre application:

  • Stocke les jetons d'actualisation dans un endroit sécurisé.
  • Permet d'effacer facilement les jetons de l'appareil. Par exemple, fournissez un bouton "Se déconnecter" qui efface un jeton (si l'application dispose d'une interface utilisateur) ou un script de ligne de commande que l'utilisateur peut exécuter.
  • Informe les utilisateurs qu'ils peuvent annuler l'autorisation de l'accès à leur compte Google. Cette action révoque le jeton d'actualisation. Pour pouvoir réutiliser l'application, l'utilisateur doit autoriser à nouveau l'accès.

Lorsque vous avez fini d'utiliser l'appareil en permanence, vous devez supprimer tous ses jetons.

Pour plus d'informations, consultez Utiliser OAuth 2.0 pour accéder aux API Google.