La tabella seguente riepiloga l'elenco delle credenziali che un'app deve gestire. Consulta la nostra documentazione OAuth per scoprire i vari tipi di app.
| Flusso di lavoro di autenticazione | Credenziale | Tipo di credenziale | Finalità |
|---|---|---|---|
| Tutti i tipi di app | Token sviluppatore | Credenziali dell'app | Consente di utilizzare l'API Google Ads con un livello di accesso approvato. |
|
App web JavaScript App Android |
ID client OAuth | Credenziali dell'app | Identifica in modo univoco l'app durante un flusso OAuth. |
| Token di accesso e token di aggiornamento | Credenziali utente | Rappresenta l'autorizzazione dell'utente a consentire all'app di accedere al proprio account Google Ads per suo conto. | |
|
App web lato server App per computer e iOS App TV e dispositivo |
ID client OAuth e client secret | Credenziali dell'app | Identifica in modo univoco l'app durante un flusso OAuth. |
| Token di accesso e token di aggiornamento | Credenziali utente | Rappresenta l'autorizzazione dell'utente per consentire all'app di accedere al suo account Google Ads per suo conto. | |
| Account di servizio | Chiave service account OAuth | Credenziali dell'app | Utilizzato per firmare la richiesta OAuth. |
| Token di accesso del service account | Credenziali utente | Rappresenta l'autorizzazione dell'account di servizio. L'utente ha condiviso il proprio account Google Ads con l'account di servizio. |
Quando gestisci le credenziali per un'app API Google Ads, ci sono alcuni aspetti da considerare.
Gestire le credenziali dell'app in modo sicuro
Le credenziali dell'app si riferiscono a impostazioni specifiche per la tua app e non variano da un utente all'altro. Tratta le credenziali della tua app OAuth con estrema attenzione, in quanto consentono a chiunque le possieda di utilizzare l'identità della tua app per accedere alle informazioni degli utenti. Archivia le credenziali dell'app OAuth in un luogo sicuro e proteggile come faresti con una password. Ove possibile, utilizza un gestore dei secret, ad esempio Google Cloud Secret Manager, per archiviare le credenziali dell'app. Non devi mai eseguire il commit delle credenziali client in repository di codice disponibili pubblicamente. Ti consigliamo vivamente di evitare di eseguirne il commit in qualsiasi repository di codice.
Gestire le credenziali utente in modo sicuro
Le credenziali utente si riferiscono ai token OAuth che rappresentano l'autorizzazione dell'utente. Ti vengono affidati dagli utenti che ti autorizzano ad agire e ad accedere ai dati per loro conto, direttamente autenticando la tua app o indirettamente condividendo il loro account Google Ads con il tuo service account. Non trasmettere mai token in testo normale e archiviali sempre criptati per fornire un ulteriore livello di protezione in caso di violazione dei dati. Revoca i token o le autorizzazioni dell'account di servizio quando non hai più bisogno di accedere all'account di un utente. Dopo la revoca, elimina definitivamente i token dalla tua applicazione o dal tuo sistema.
Gestire la revoca e la scadenza del token di aggiornamento
Se utilizzi un flusso di autenticazione utente, tieni presente che i token di aggiornamento possono essere invalidati in qualsiasi momento. Ad esempio, se utilizzi un flusso di autenticazione multiutente, l'utente potrebbe scegliere di revocare l'accesso alla tua app. Anche se è meno probabile che un'app che utilizza il flusso di autenticazione per un singolo utente venga interessata in questo modo, un processo manuale o automatizzato progettato per proteggere gli utenti potrebbe comunque eliminare il token di aggiornamento o il token di aggiornamento potrebbe scadere. Se la tua app richiede la notifica della revoca del token per offrire una buona esperienza agli utenti, devi integrarla con il nostro servizio Cross-Account Protection.
Riutilizzare le credenziali utente nelle richieste API
I token di accesso OAuth hanno una durata breve e scadono dopo un'ora. Se utilizzi le nostre librerie client, la scadenza e gli aggiornamenti del token di accesso vengono gestiti in modo thread-safe. Tutto ciò che devi fare è creare un oggetto sessione dell'API Google Ads con le credenziali OAuth appropriate e riutilizzarlo per tutta la sua durata.
Se crei una strategia di aggiornamento e gestione dei token di accesso personalizzata, devi tenere traccia della scadenza del token di accesso e riutilizzarlo il più possibile. Se non sai quando è stato aggiornato l'ultima volta un token di accesso, puoi provare ad aggiornarlo, supponendo che sia già scaduto. Se il token di accesso non è in scadenza, il server restituisce lo stesso token di accesso, insieme ai millisecondi rimanenti prima della scadenza del token. Ti consigliamo di forzare l'aggiornamento del token di accesso se mancano meno di 5 minuti alla scadenza.