แนวทางปฏิบัติแนะนำสำหรับความเป็นส่วนตัวและความปลอดภัย

ต่อไปนี้เป็นหลักเกณฑ์ด้านความปลอดภัยและความเป็นส่วนตัวสำหรับนักพัฒนาซอฟต์แวร์ที่ใช้ Google Assistant API ในโครงการของตน

การให้สิทธิ์ API และแอปพลิเคชัน

แอปพลิเคชันที่ใช้ Google Assistant API ต้องมีข้อมูลเข้าสู่ระบบการให้สิทธิ์ที่ระบุแอปพลิเคชันกับเซิร์ฟเวอร์การตรวจสอบสิทธิ์ของ Google โดยปกติแล้ว ข้อมูลเข้าสู่ระบบเหล่านี้จะจัดเก็บไว้ในไฟล์ client_secret_<client-id>.json ที่ดาวน์โหลดมา โปรดเก็บไฟล์นี้ในตำแหน่งที่แอปพลิเคชันของคุณสามารถเข้าถึงได้เท่านั้น

แอปพลิเคชันของคุณอาจแจ้งให้ผู้ใช้ให้สิทธิ์เข้าถึงบัญชี Google ของตน หากได้รับอนุญาต แอปพลิเคชันของคุณจะขอโทเค็นเพื่อการเข้าถึงของผู้ใช้รายนั้นได้ โทเค็นเหล่านี้จะหมดอายุ แต่สามารถรีเฟรชได้

โทเค็นการรีเฟรชที่ไม่มีการป้องกันในอุปกรณ์อาจมีความเสี่ยงด้านความปลอดภัยอย่างมาก ตรวจสอบว่าแอปพลิเคชัน

• จัดเก็บโทเค็นการรีเฟรชไว้ในที่ปลอดภัย
• มอบวิธีง่ายๆ ในการล้างโทเค็นออกจากอุปกรณ์ เช่น มอบปุ่ม "ออกจากระบบ" ที่ล้างโทเค็น (หากแอปพลิเคชันมี UI) หรือสคริปต์บรรทัดคำสั่งที่ผู้ใช้เรียกใช้ได้
• แจ้งให้ผู้ใช้ทราบว่าสามารถยกเลิกการให้สิทธิ์เข้าถึงบัญชี Google ของตน การดำเนินการนี้จะเพิกถอนโทเค็นการรีเฟรช หากต้องการใช้แอปพลิเคชันอีกครั้ง ผู้ใช้จะต้องให้สิทธิ์การเข้าถึงอีกครั้ง

เมื่อคุณใช้อุปกรณ์อย่างถาวรเสร็จแล้ว คุณควรล้างโทเค็นทั้งหมดออกจากอุปกรณ์นั้น

สำหรับข้อมูลเพิ่มเติม โปรดดูที่การใช้ OAuth 2.0 เพื่อเข้าถึง Google API