In der folgenden Tabelle sind die Anmeldedaten zusammengefasst, die eine App verwalten sollte. Weitere Informationen zu den verschiedenen App-Typen finden Sie in unserer OAuth-Dokumentation.
| Authentifizierungsworkflow | Anmeldedaten | Art der Anmeldedaten | Zweck |
|---|---|---|---|
| Alle App-Typen | Entwickler-Token | App-Anmeldedaten | Ermöglicht die Verwendung der Google Ads API mit einer genehmigten Zugriffsebene. |
|
JavaScript-Web-Apps Android-Apps |
OAuth-Client-ID | App-Anmeldedaten | Hiermit wird die App bei einem OAuth-Ablauf eindeutig identifiziert. |
| Zugriffs- und Aktualisierungstoken | Nutzeranmeldedaten | Gibt die Autorisierung des Nutzers an, damit die App in seinem Namen auf sein Google Ads-Konto zugreifen kann. | |
|
Serverseitige Web-Apps Desktop- und iOS-Apps TV- und Geräte-Apps |
OAuth-Client-ID und ‑Clientschlüssel | App-Anmeldedaten | Hiermit wird die App bei einem OAuth-Ablauf eindeutig identifiziert. |
| Zugriffs- und Aktualisierungstoken | Nutzeranmeldedaten | Stellt die Autorisierung des Nutzers dar, damit die App in seinem Namen auf sein Google Ads-Konto zugreifen kann. | |
| Dienstkonten | OAuth-Dienstkontoschlüssel | App-Anmeldedaten | Wird zum Signieren der OAuth-Anfrage verwendet. |
| Zugriffstoken des Dienstkontos | Nutzeranmeldedaten | Stellt die Autorisierung des Dienstkontos dar. Der Nutzer hat sein Google Ads-Konto für das Dienstkonto freigegeben. |
Bei der Verwaltung von Anmeldedaten für eine Google Ads API-Anwendung sind einige Punkte zu beachten.
Sicherer Umgang mit App-Anmeldedaten
App-Anmeldedaten beziehen sich auf Einstellungen, die spezifisch für Ihre App sind und sich nicht von Nutzer zu Nutzer unterscheiden. Gehen Sie mit den Anmeldedaten Ihrer OAuth-App äußerst sorgfältig um, da sie jedem, der sie hat, ermöglichen, die Identität Ihrer App zu verwenden, um auf Nutzerinformationen zuzugreifen. Speichern Sie die Anmeldedaten Ihrer OAuth-App an einem sicheren Ort und schützen Sie sie wie ein Passwort. Verwenden Sie nach Möglichkeit einen Secrets Manager wie Google Cloud Secret Manager, um Anmeldedaten für Apps zu speichern. Sie dürfen niemals Clientanmeldedaten in öffentlich verfügbare Code-Repositories einchecken. Wir empfehlen dringend, sie nicht in ein Code-Repository zu übertragen.
Sicherer Umgang mit Nutzeranmeldedaten
Nutzeranmeldedaten beziehen sich auf OAuth-Tokens, die die Autorisierung des Nutzers darstellen. Sie werden Ihnen von Nutzern anvertraut, die Ihnen die Berechtigung erteilen, in ihrem Namen zu handeln und auf Daten zuzugreifen – entweder direkt durch die Authentifizierung Ihrer App oder indirekt durch die Freigabe ihres Google Ads-Kontos für Ihr Dienstkonto. Übertragen Sie Tokens niemals im Klartext und speichern Sie sie immer verschlüsselt, um im Falle einer Datenpanne für zusätzlichen Schutz zu sorgen. Sie können Tokens oder Dienstkontoberechtigungen widerrufen, wenn Sie keinen Zugriff mehr auf das Konto eines Nutzers benötigen. Nachdem die Tokens widerrufen wurden, löschen Sie sie endgültig aus Ihrer Anwendung oder Ihrem System.
Widerruf und Ablauf von Aktualisierungstokens verarbeiten
Wenn Sie einen Nutzerauthentifizierungsablauf verwenden, sollten Sie bedenken, dass Aktualisierungstokens jederzeit ungültig gemacht werden können. Wenn Sie beispielsweise einen Authentifizierungsablauf für mehrere Nutzer verwenden, kann der Nutzer den Zugriff auf Ihre App widerrufen. Eine App, die einen Authentifizierungsablauf für einen einzelnen Nutzer verwendet, ist zwar weniger wahrscheinlich betroffen, aber ein manueller oder automatisierter Prozess zum Schutz von Nutzern kann das Aktualisierungstoken trotzdem löschen oder das Aktualisierungstoken kann ablaufen. Wenn für Ihre App eine Benachrichtigung über den Widerruf von Tokens erforderlich ist, um Nutzern eine gute Nutzererfahrung zu bieten, müssen Sie unseren Cross-Account Protection-Dienst einbinden.
Nutzeranmeldedaten für mehrere API-Anfragen wiederverwenden
OAuth-Zugriffstokens sind kurzlebig und laufen nach einer Stunde ab. Wenn Sie unsere Clientbibliotheken verwenden, werden Ablauf und Aktualisierung des Zugriffstokens auf threadsichere Weise für Sie übernommen. Sie müssen lediglich ein Google Ads API-Sitzungsobjekt mit den entsprechenden OAuth-Anmeldedaten erstellen und es während seiner gesamten Lebensdauer wiederverwenden.
Wenn Sie Ihre eigene Strategie zum Aktualisieren und Verwalten von Zugriffstokens entwickeln, sollten Sie das Ablaufdatum des Zugriffstokens im Blick behalten und es so oft wie möglich wiederverwenden. Wenn Sie nicht wissen, wann ein Zugriffstoken zuletzt aktualisiert wurde, können Sie versuchen, es zu aktualisieren, sofern es bereits abgelaufen ist. Wenn das Zugriffstoken nicht kurz vor dem Ablauf steht, gibt der Server dasselbe Zugriffstoken zusammen mit der Anzahl der Millisekunden zurück, die bis zum Ablauf des Tokens verbleiben. Wir empfehlen, eine Aktualisierung des Zugriffstokens zu erzwingen, wenn es weniger als 5 Minuten bis zum Ablauf sind.