Le tableau suivant récapitule la liste des identifiants qu'une application doit gérer. Consultez notre documentation OAuth pour en savoir plus sur les différents types d'applications.
| Workflow d'authentification | Identifiant | Type d'identifiant | Objectif |
|---|---|---|---|
| Tous les types d'applications | Jeton de développeur | Identifiants de l'application | Vous permet d'utiliser l'API Google Ads avec un niveau d'accès approuvé. |
|
Applications Web JavaScript Applications Android |
ID client OAuth | Identifiants de l'application | Identifie de manière unique l'application lors d'un flux OAuth. |
| Jeton d'accès et jeton d'actualisation | Identifiants utilisateur | Représente l'autorisation de l'utilisateur permettant à l'application d'accéder à son compte Google Ads en son nom. | |
|
Applications Web côté serveur Applications pour ordinateur et iOS Applis TV et d'appareils |
ID client OAuth et code secret client | Identifiants de l'application | Identifie de manière unique l'application lors d'un flux OAuth. |
| Jeton d'accès et jeton d'actualisation | Identifiants utilisateur | Représente l'autorisation de l'utilisateur permettant à l'application d'accéder à son compte Google Ads en son nom. | |
| Comptes de service | Clé de compte de service OAuth | Identifiants de l'application | Utilisé pour signer la requête OAuth. |
| Jeton d'accès du compte de service | Identifiants utilisateur | Représente l'autorisation du compte de service. L'utilisateur a partagé son compte Google Ads avec le compte de service. |
Vous devez tenir compte de plusieurs points lorsque vous gérez les identifiants d'une application d'API Google Ads.
Gérer les identifiants d'application de manière sécurisée
Les identifiants d'application font référence à des paramètres spécifiques à votre application, qui ne varient pas d'un utilisateur à l'autre. Traitez les identifiants de votre application OAuth avec la plus grande précaution, car ils permettent à toute personne qui les possède d'utiliser l'identité de votre application pour accéder aux informations utilisateur. Stockez les identifiants de votre application OAuth dans un endroit sûr et protégez-les comme vous le feriez pour un mot de passe. Dans la mesure du possible, utilisez un gestionnaire de secrets, tel que Google Cloud Secret Manager, pour stocker les identifiants de l'application. Vous ne devez jamais enregistrer d'identifiants client dans des dépôts de code accessibles au public. Nous vous recommandons vivement d'éviter de les valider dans un dépôt de code.
Gérer les identifiants utilisateur de manière sécurisée
Les identifiants utilisateur font référence aux jetons OAuth qui représentent l'autorisation de l'utilisateur. Les utilisateurs vous les confient en vous autorisant à agir et à accéder aux données en leur nom, soit directement en authentifiant votre application, soit indirectement en partageant leur compte Google Ads avec votre compte de service. Ne transmettez jamais de jetons en texte brut et stockez toujours les jetons chiffrés au repos pour fournir une couche de protection supplémentaire en cas de violation de données. Révoquez les jetons ou les autorisations du compte de service lorsque vous n'avez plus besoin d'accéder au compte d'un utilisateur. Une fois les jetons révoqués, supprimez-les définitivement de votre application ou de votre système.
Gérer la révocation et l'expiration du jeton d'actualisation
Si vous utilisez un flux d'authentification utilisateur, n'oubliez pas que les jetons d'actualisation peuvent être invalidés à tout moment. Par exemple, si vous utilisez un flux d'authentification multi-utilisateur, l'utilisateur peut choisir de révoquer l'accès à votre application. Bien qu'une application qui utilise un flux d'authentification à un seul utilisateur soit moins susceptible d'être affectée de cette manière, un processus manuel ou automatisé conçu pour protéger les utilisateurs peut toujours supprimer le jeton d'actualisation, ou celui-ci peut expirer. Si votre application nécessite une notification de révocation du jeton pour offrir une bonne expérience aux utilisateurs, vous devez l'intégrer à notre service Cross-Account Protection.
Réutiliser les identifiants utilisateur dans vos requêtes d'API
Les jetons d'accès OAuth sont éphémères et expirent au bout d'une heure. Si vous utilisez nos bibliothèques clientes, l'expiration et l'actualisation du jeton d'accès sont gérées pour vous de manière thread-safe. Il vous suffit de créer un objet de session de l'API Google Ads avec les identifiants OAuth appropriés et de le réutiliser tout au long de sa durée de vie.
Si vous créez votre propre stratégie d'actualisation et de gestion des jetons d'accès, vous devez suivre leur expiration et les réutiliser autant que possible. Si vous ne savez pas quand un jeton d'accès a été actualisé pour la dernière fois, vous pouvez essayer de l'actualiser, en supposant qu'il a déjà expiré. Si le jeton d'accès n'est pas sur le point d'expirer, le serveur renvoie le même jeton d'accès, ainsi que le nombre de millisecondes restantes avant son expiration. Nous vous recommandons de forcer l'actualisation d'un jeton d'accès s'il expire dans moins de cinq minutes.