A tabela a seguir resume a lista de credenciais que um app precisa gerenciar. Consulte nossa documentação do OAuth para saber mais sobre vários tipos de apps.
| Fluxo de trabalho de autenticação | Credencial | Tipo de credencial | Finalidade |
|---|---|---|---|
| Todos os tipos de apps | Token de desenvolvedor | Credenciais do app | Permite usar a API Google Ads com um nível de acesso aprovado. |
|
Apps da Web em JavaScript Apps Android |
ID do cliente OAuth | Credenciais do app | Identifica exclusivamente o app ao fazer um fluxo OAuth. |
| Token de acesso e token de atualização | Credenciais do usuário | Representa a autorização do usuário para permitir que o app acesse a conta do Google Ads em nome dele. | |
|
Apps da Web do lado do servidor Apps para computador e iOS Apps de TV e dispositivos |
ID do cliente OAuth e chave secreta do cliente | Credenciais do app | Identifica exclusivamente o app ao fazer um fluxo OAuth. |
| Token de acesso e token de atualização | Credenciais do usuário | Representa a autorização do usuário para permitir que o app acesse a conta do Google Ads em nome dele. | |
| Contas de serviço | Chave da conta de serviço do OAuth | Credenciais do app | Usado para assinar a solicitação OAuth. |
| Token de acesso da conta de serviço | Credenciais do usuário | Representa a autorização da conta de serviço. O usuário compartilhou a conta do Google Ads com a conta de serviço. |
Há alguns pontos a serem considerados ao gerenciar credenciais para um app da API Google Ads.
Processar credenciais de apps com segurança
As credenciais do app se referem a configurações específicas do seu app e não variam de um usuário para outro. Trate as credenciais do app OAuth com muito cuidado, já que elas permitem que qualquer pessoa que as tenha use a identidade do app para acessar informações do usuário. Armazene as credenciais do app OAuth em um local seguro e proteja-as, assim como faria com uma senha. Sempre que possível, use um gerenciador de secrets, como o Secret Manager do Google Cloud, para armazenar credenciais do app. Nunca confirme credenciais de cliente em repositórios de código disponíveis publicamente. Recomendamos que você evite fazer commit delas em qualquer repositório de código.
Gerenciar as credenciais dos usuários com segurança
As credenciais de usuário se referem a tokens OAuth que representam a autorização do usuário. Eles são confiados a você por usuários que concedem permissão para agir e acessar dados em nome deles, seja diretamente autenticando seu app ou indiretamente compartilhando a conta do Google Ads com sua conta de serviço. Nunca transmita tokens em texto simples e sempre armazene tokens criptografados em repouso para oferecer uma camada extra de proteção em caso de violação de dados. Revogue tokens ou permissões de conta de serviço quando não precisar mais de acesso à conta de um usuário. Depois que os tokens forem revogados, exclua-os permanentemente do seu aplicativo ou sistema.
Processar a revogação e a expiração do token de atualização
Se você estiver usando um fluxo de autenticação de usuário, lembre-se de que os tokens de atualização podem ser invalidados a qualquer momento. Por exemplo, se você estiver usando um fluxo de autenticação multiusuário, o usuário poderá revogar o acesso ao seu app. Embora seja menos provável que um app que usa um fluxo de autenticação de usuário único seja afetado dessa forma, um processo manual ou automatizado projetado para proteger os usuários também pode limpar o token de atualização, ou ele pode expirar. Se o app exigir notificação de revogação de token para oferecer uma boa experiência aos usuários, integre-o ao nosso serviço de proteção entre contas.
Reutilizar credenciais de usuário em todas as solicitações de API
Os tokens de acesso do OAuth são de curta duração e expiram em uma hora. Se você usar nossas bibliotecas de cliente, o vencimento e as atualizações do token de acesso serão processados para você de maneira thread-safe. Basta criar um objeto de sessão da API Google Ads com as credenciais OAuth adequadas e reutilizá-lo durante todo o ciclo de vida.
Se você criar sua própria estratégia de atualização e gerenciamento de tokens de acesso, acompanhe a expiração do token e reutilize-o o máximo possível. Se você não souber quando um token de acesso foi atualizado pela última vez, tente atualizá-lo, supondo que ele já tenha expirado. Se o token de acesso não estiver perto de expirar, o servidor vai retornar o mesmo token de acesso, junto com os milissegundos restantes até a expiração do token. Recomendamos forçar uma atualização do token de acesso se faltarem menos de 5 minutos para a expiração.