В таблице ниже представлен список учётных данных, которыми должно управлять приложение. Подробнее о различных типах приложений см. в нашей документации по OAuth.
| Рабочий процесс аутентификации | Учетные данные | Тип удостоверения | Цель |
|---|---|---|---|
| Все типы приложений | Токен разработчика | Учетные данные приложения | Позволяет использовать API Google Ads с одобренным уровнем доступа . |
Веб-приложения Javascript Android-приложения | Идентификатор клиента OAuth | Учетные данные приложения | Уникально идентифицирует приложение при выполнении потока OAuth. |
| Токен доступа и токен обновления | Учетные данные пользователя | Представляет собой разрешение пользователя разрешить приложению получать доступ к его аккаунту Google Ads от его имени. | |
Серверные веб-приложения Приложения для ПК и iOS Приложения для ТВ и устройств | Идентификатор клиента OAuth и секретный код клиента | Учетные данные приложения | Уникально идентифицирует приложение при выполнении потока OAuth. |
| Токен доступа и токен обновления | Учетные данные пользователя | Представляет собой разрешение пользователя на доступ приложения к его аккаунту Google Ads от его имени. | |
| Учетные записи служб | Ключ учетной записи службы OAuth | Учетные данные приложения | Используется для подписи запроса OAuth. |
| Токен доступа учетной записи службы | Учетные данные пользователя | Представляет собой авторизацию сервисного аккаунта. Пользователь предоставил сервисному аккаунту общий доступ к своему аккаунту Google Рекламы. |
При управлении учетными данными для приложения API Google Ads следует учитывать несколько моментов.
Безопасная обработка учетных данных приложения
Учётные данные приложения относятся к настройкам, специфичным для вашего приложения, и не меняются от пользователя к пользователю. Обращайтесь с учётными данными приложения OAuth с особой осторожностью, поскольку они позволяют любому, кто ими владеет, использовать идентификационные данные вашего приложения для получения доступа к информации пользователя. Храните учётные данные приложения OAuth в надёжном месте и защищайте их так же, как пароль. По возможности используйте менеджер секретов, например, Google Cloud Secret Manager, для хранения учётных данных приложения. Никогда не публикуйте учётные данные клиента в общедоступных репозиториях кода. Мы настоятельно рекомендуем вам не размещать их в каких-либо репозиториях кода.
Безопасная обработка учетных данных пользователей
Учётные данные пользователя — это токены OAuth, которые представляют собой авторизацию пользователя. Они доверяются вам пользователями, которые дают вам разрешение действовать и получать доступ к данным от их имени — либо напрямую, аутентифицируя ваше приложение, либо косвенно, предоставляя доступ к своему аккаунту Google Ads вашему сервисному аккаунту. Никогда не передавайте токены в виде открытого текста и всегда храните зашифрованные токены в неактивном состоянии, чтобы обеспечить дополнительный уровень защиты в случае утечки данных. Отозывайте токены или разрешения сервисного аккаунта, когда вам больше не нужен доступ к аккаунту пользователя. После отзыва токенов удалите их без возможности восстановления из приложения или системы.
Обработка отзыва и истечения срока действия токенов обновления
Если вы используете поток аутентификации пользователей, следует помнить, что токены обновления могут быть аннулированы в любой момент. Например, если вы используете поток аутентификации нескольких пользователей, пользователь может решить отозвать доступ к вашему приложению. Хотя приложение, использующее поток аутентификации одного пользователя, менее подвержено такому воздействию, ручной или автоматизированный процесс, предназначенный для защиты пользователей, также может удалить токен обновления, или срок его действия может истечь. Если ваше приложение требует уведомления об отзыве токена для обеспечения комфортной работы пользователей, необходимо интегрировать его с нашей службой Cross-Account Protection .
Повторно используйте учетные данные пользователя в запросах API
Токены доступа OAuth имеют короткий срок действия и истекают через час. Если вы используете наши клиентские библиотеки, истечение срока действия и обновление токенов доступа будут осуществляться автоматически потокобезопасным способом. Всё, что вам нужно сделать, — это создать объект сеанса API Google Ads с соответствующими учётными данными OAuth и использовать его на протяжении всего жизненного цикла.
Если вы разрабатываете собственную стратегию обновления и управления токенами доступа, вам следует отслеживать срок действия токенов доступа и использовать их повторно как можно чаще. Если вы не знаете, когда токен доступа обновлялся в последний раз, вы можете попытаться обновить его, предположив, что срок его действия уже истёк. Если срок действия токена доступа ещё не близок к истечению, сервер возвращает тот же токен доступа вместе с оставшимся количеством миллисекунд до истечения срока действия токена . Мы рекомендуем принудительно обновлять токены доступа, если до истечения срока действия осталось менее 5 минут.