W tabeli poniżej znajdziesz podsumowanie listy danych logowania, którymi powinna zarządzać aplikacja. Więcej informacji o różnych typach aplikacji znajdziesz w naszej dokumentacji OAuth.
| Przepływ pracy uwierzytelniania | Dane logowania | Typ danych logowania | Cel |
|---|---|---|---|
| Wszystkie typy aplikacji | Token programisty | Dane logowania do aplikacji | Umożliwia korzystanie z interfejsu Google Ads API z zatwierdzonym poziomem dostępu. |
|
Aplikacje internetowe w JavaScript Aplikacje na Androida |
Identyfikator klienta OAuth | Dane logowania do aplikacji | Jednoznacznie identyfikuje aplikację podczas procesu uwierzytelniania OAuth. |
| Token dostępu i token odświeżania | Dane logowania użytkownika | Reprezentuje autoryzację użytkownika, która umożliwia aplikacji dostęp do jego konta Google Ads w jego imieniu. | |
|
Aplikacje internetowe po stronie serwera Aplikacje na komputery i iOS Aplikacje na telewizory i urządzenia |
Identyfikator klienta OAuth i tajny klucz klienta | Dane logowania do aplikacji | Jednoznacznie identyfikuje aplikację podczas procesu uwierzytelniania OAuth. |
| Token dostępu i token odświeżania | Dane logowania użytkownika | Reprezentuje autoryzację użytkownika, która umożliwia aplikacji dostęp do jego konta Google Ads w jego imieniu. | |
| Konta usługi | Klucz konta usługi OAuth | Dane logowania do aplikacji | Służy do podpisywania żądania OAuth. |
| Token dostępu konta usługi | Dane logowania użytkownika | Reprezentuje autoryzację konta usługi. Użytkownik udostępnił konto Google Ads kontu usługi. |
Podczas zarządzania danymi logowania aplikacji interfejsu Google Ads API musisz pamiętać o kilku kwestiach.
Bezpieczne zarządzanie danymi logowania do aplikacji
Dane logowania aplikacji to ustawienia, które są specyficzne dla Twojej aplikacji i nie różnią się w zależności od użytkownika. Traktuj dane logowania aplikacji OAuth z najwyższą ostrożnością, ponieważ umożliwiają one każdej osobie, która je ma, używanie tożsamości aplikacji do uzyskiwania dostępu do informacji o użytkownikach. Przechowuj dane uwierzytelniające aplikacji OAuth w bezpiecznym miejscu i chroń je tak samo jak hasło. W miarę możliwości używaj menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager, do przechowywania danych logowania aplikacji. Nigdy nie przesyłaj danych logowania klienta do publicznie dostępnych repozytoriów kodu. Zdecydowanie zalecamy, aby nie zapisywać ich w żadnym repozytorium kodu.
Bezpieczne postępowanie z danymi logowania użytkowników
Dane logowania użytkownika to tokeny OAuth, które reprezentują autoryzację użytkownika. Użytkownicy powierzają Ci je, przyznając Ci uprawnienia do działania i uzyskiwania dostępu do danych w ich imieniu – bezpośrednio przez uwierzytelnianie Twojej aplikacji lub pośrednio przez udostępnianie konta Google Ads Twojemu kontu usługi. Nigdy nie przesyłaj tokenów w postaci zwykłego tekstu i zawsze przechowuj zaszyfrowane tokeny w stanie spoczynku, aby zapewnić dodatkową warstwę ochrony w przypadku naruszenia bezpieczeństwa danych. Cofnij tokeny lub uprawnienia konta usługi, gdy nie potrzebujesz już dostępu do konta użytkownika. Po odwołaniu tokenów trwale usuń je z aplikacji lub systemu.
Obsługa unieważnienia i wygasania tokena odświeżania
Jeśli używasz procesu uwierzytelniania użytkownika, pamiętaj, że tokeny odświeżania mogą zostać unieważnione w dowolnym momencie. Jeśli na przykład używasz procesu uwierzytelniania wielu użytkowników, użytkownik może cofnąć dostęp do Twojej aplikacji. Aplikacja, która korzysta z procesu uwierzytelniania jednego użytkownika, jest mniej narażona na takie działanie, ale ręczny lub automatyczny proces zaprojektowany w celu ochrony użytkowników może nadal usuwać token odświeżania lub token odświeżania może wygasnąć. Jeśli Twoja aplikacja wymaga powiadomienia o unieważnieniu tokena, aby zapewnić użytkownikom komfort korzystania z niej, musisz zintegrować ją z naszą usługą Cross-Account Protection.
Ponowne używanie danych logowania użytkownika w żądaniach do interfejsu API
Tokeny dostępu OAuth są krótkotrwałe i wygasają po godzinie. Jeśli korzystasz z naszych bibliotek klienta, wygaśnięcie tokena dostępu i jego odświeżanie są obsługiwane w bezpieczny dla wątków sposób. Wystarczy utworzyć obiekt sesji interfejsu Google Ads API z odpowiednimi danymi logowania OAuth i używać go przez cały okres jego istnienia.
Jeśli opracujesz własną strategię odświeżania tokena dostępu i zarządzania nim, musisz śledzić jego datę ważności i w miarę możliwości używać go ponownie. Jeśli nie wiesz, kiedy token dostępu był ostatnio odświeżany, możesz spróbować go odświeżyć, zakładając, że już wygasł. Jeśli token dostępu nie jest bliski wygaśnięcia, serwer zwraca ten sam token dostępu wraz z liczbą milisekund pozostałych do wygaśnięcia tokena. Zalecamy wymuszanie odświeżania tokena dostępu, jeśli do jego wygaśnięcia pozostało mniej niż 5 minut.