En la siguiente tabla, se resume la lista de credenciales que debe administrar una app. Consulta nuestra documentación de OAuth para obtener información sobre los distintos tipos de apps.
| Flujo de trabajo de autenticación | Credencial | Tipo de credencial | Objetivo |
|---|---|---|---|
| Todos los tipos de apps | Token de desarrollador | Credenciales de la app | Te permite usar la API de Google Ads con un nivel de acceso aprobado. |
|
Apps web de JavaScript Apps para Android |
ID de cliente de OAuth | Credenciales de la app | Identifica de forma única la app cuando se realiza un flujo de OAuth. |
| Token de acceso y token de actualización | Credenciales de usuario | Representa la autorización del usuario para permitir que la app acceda a su cuenta de Google Ads en su nombre. | |
|
Apps web del servidor Apps para iOS y computadoras Apps para TVs y dispositivos |
ID y secreto del cliente de OAuth | Credenciales de la app | Identifica de forma única la app cuando se realiza un flujo de OAuth. |
| Token de acceso y token de actualización | Credenciales de usuario | Representa la autorización del usuario para permitir que la app acceda a su cuenta de Google Ads en su nombre. | |
| Cuentas de servicio | Clave de cuenta de servicio de OAuth | Credenciales de la app | Se usa para firmar la solicitud de OAuth. |
| Token de acceso de la cuenta de servicio | Credenciales de usuario | Representa la autorización de la cuenta de servicio. El usuario compartió su cuenta de Google Ads con la cuenta de servicio. |
Hay algunos puntos que debes tener en cuenta cuando administras las credenciales de una app de la API de Google Ads.
Cómo controlar las credenciales de la app de forma segura
Las credenciales de la app hacen referencia a la configuración específica de tu app y no varían de un usuario a otro. Trata las credenciales de tu app de OAuth con extremo cuidado, ya que permiten que cualquier persona que las tenga use la identidad de tu app para acceder a la información del usuario. Almacena las credenciales de tu app de OAuth en un lugar seguro y protégelas como si fueran una contraseña. Cuando sea posible, usa un administrador de secretos, como Google Cloud Secret Manager, para almacenar las credenciales de la app. Nunca debes confirmar credenciales de cliente en repositorios de código disponibles públicamente. Te recomendamos que evites confirmarlas en cualquier repositorio de código.
Cómo controlar las credenciales del usuario de forma segura
Las credenciales de usuario hacen referencia a los tokens de OAuth que representan la autorización del usuario. Los usuarios te los confían cuando te dan permiso para actuar y acceder a sus datos en su nombre, ya sea directamente autenticando tu app o indirectamente compartiendo su cuenta de Google Ads con tu cuenta de servicio. Nunca transmitas tokens en texto sin formato y siempre almacena los tokens encriptados de forma estática para proporcionar una capa adicional de protección en caso de incumplimiento de la seguridad de los datos. Revoca los tokens o los permisos de la cuenta de servicio cuando ya no necesites acceder a la cuenta de un usuario. Después de revocar los tokens, bórralos de forma permanente de tu aplicación o sistema.
Cómo controlar la revocación y el vencimiento de tokens de actualización
Si usas un flujo de autenticación de usuarios, debes tener en cuenta que los tokens de actualización se pueden invalidar en cualquier momento. Por ejemplo, si usas un flujo de autenticación de varios usuarios, el usuario podría optar por revocar el acceso a tu app. Si bien es menos probable que una app que usa un flujo de autenticación de un solo usuario se vea afectada de esta manera, un proceso manual o automatizado diseñado para proteger a los usuarios también podría purgar el token de actualización, o este podría vencer. Si tu app requiere una notificación de revocación del token para brindar una buena experiencia a los usuarios, debes realizar la integración con nuestro servicio de Protección entre cuentas.
Cómo reutilizar las credenciales del usuario en tus solicitudes a la API
Los tokens de acceso de OAuth son de corta duración y vencen en una hora. Si usas nuestras bibliotecas cliente, la actualización y el vencimiento del token de acceso se controlan de forma segura para subprocesos. Todo lo que necesitas hacer es construir un objeto de sesión de la API de Google Ads con las credenciales de OAuth adecuadas y reutilizarlo durante su ciclo de vida.
Si creas tu propia estrategia de administración y actualización de tokens de acceso, debes hacer un seguimiento del vencimiento del token de acceso y reutilizarlo lo más posible. Si no sabes cuándo se actualizó por última vez un token de acceso, puedes intentar actualizarlo, suponiendo que ya caducó. Si el token de acceso no está cerca de vencer, el servidor devuelve el mismo token de acceso, junto con los milisegundos que faltan para que venza el token. Recomendamos forzar la actualización de un token de acceso si faltan menos de 5 minutos para su vencimiento.