בטבלה הבאה מפורטים סוגי האישורים שאפליקציה צריכה לנהל. מידע על סוגים שונים של אפליקציות זמין במסמכים בנושא OAuth.
| תהליך העבודה של האימות | פרטי כניסה | סוג פרטי הכניסה | מטרה |
|---|---|---|---|
| כל סוגי האפליקציות | קוד מפתח | פרטי הכניסה לאפליקציה | מאפשר להשתמש ב-Google Ads API עם רמת גישה מאושרת. |
|
אפליקציות אינטרנט של JavaScript אפליקציות ל-Android |
מזהה לקוח ב-OAuth | פרטי הכניסה לאפליקציה | מזהה באופן ייחודי את האפליקציה כשמבצעים זרימת OAuth. |
| טוקן גישה וטוקן רענון | פרטי הכניסה של המשתמש | מייצג את ההרשאה של המשתמש לאפשר לאפליקציה לגשת לחשבון Google Ads שלו בשמו. | |
|
אפליקציות אינטרנט בצד השרת אפליקציות למחשב ולאייפון אפליקציות לטלוויזיה ולמכשירים |
מזהה לקוח וסוד לקוח ב-OAuth | פרטי הכניסה לאפליקציה | מזהה באופן ייחודי את האפליקציה כשמבצעים זרימת OAuth. |
| טוקן גישה וטוקן רענון | פרטי הכניסה של המשתמש | ההרשאה של המשתמש מאפשרת לאפליקציה לגשת לחשבון Google Ads שלו בשמו. | |
| חשבונות שירות | מפתח של חשבון שירות OAuth | פרטי הכניסה לאפליקציה | משמש לחתימה על בקשת OAuth. |
| טוקן הגישה של חשבון השירות | פרטי הכניסה של המשתמש | מייצג את ההרשאה של חשבון השירות. המשתמש שיתף את חשבון Google Ads שלו עם חשבון השירות. |
יש כמה נקודות שכדאי להביא בחשבון כשמנהלים את פרטי הכניסה לאפליקציית Google Ads API.
טיפול מאובטח בפרטי הכניסה של האפליקציה
פרטי הכניסה של האפליקציה הם הגדרות שספציפיות לאפליקציה שלכם, והן לא משתנות ממשתמש למשתמש. חשוב לשמור על פרטי הכניסה לאפליקציית OAuth בזהירות רבה, כי הם מאפשרים לכל מי שיש לו אותם להשתמש בזהות של האפליקציה כדי לקבל גישה למידע על המשתמשים. אחסנו את פרטי הכניסה של אפליקציית OAuth במקום מאובטח והגנו עליהם, בדיוק כמו שהייתם עושים עם סיסמה. במקרים שבהם הדבר אפשרי, מומלץ להשתמש במנהל סודות, כמו Google Cloud Secret Manager, כדי לאחסן את פרטי הכניסה של האפליקציה. אסור אף פעם לבצע קומיט של פרטי לקוח במאגרי קוד שזמינים לציבור. מומלץ מאוד להימנע מהוספה שלהם למאגר קוד כלשהו.
טיפול מאובטח בפרטי הכניסה של המשתמשים
פרטי כניסה של משתמשים הם אסימוני OAuth שמייצגים את ההרשאה של המשתמש. המשתמשים נותנים לכם הרשאה לפעול ולגשת לנתונים בשמם – באופן ישיר על ידי אימות האפליקציה שלכם, או באופן עקיף על ידי שיתוף חשבון Google Ads שלהם עם חשבון השירות שלכם. לעולם אל תעבירו טוקנים בטקסט רגיל, ותמיד אחסנו טוקנים מוצפנים במצב מנוחה כדי לספק שכבת הגנה נוספת במקרה של פרצת אבטחה. צריך לבטל את האסימונים או את ההרשאות של חשבון השירות כשכבר לא צריך גישה לחשבון של משתמש. אחרי ביטול האסימונים, צריך למחוק אותם באופן סופי מהאפליקציה או מהמערכת.
טיפול בביטול של טוקן רענון ובתפוגה שלו
אם אתם משתמשים בתהליך אימות משתמש, חשוב לזכור שאפשר לבטל את התוקף של אסימוני רענון בכל שלב. לדוגמה, אם משתמש משתמש בתהליך אימות של כמה משתמשים, הוא יכול לבטל את הגישה לאפליקציה. אמנם הסיכוי שאפליקציה שמשתמשת בתהליך אימות של משתמש יחיד תושפע בצורה כזו הוא נמוך יותר, אבל תהליך ידני או אוטומטי שנועד להגן על משתמשים עדיין יכול למחוק את טוקן הרענון, או שהתוקף של טוקן הרענון יכול לפוג. אם האפליקציה שלכם דורשת הודעה על ביטול אסימון כדי לספק חוויה טובה למשתמשים, אתם צריכים לשלב אותה עם שירות ההגנה על חשבונות שונים שלנו.
שימוש חוזר בפרטי כניסה של משתמשים בבקשות API
אסימוני גישה מסוג OAuth תקפים לזמן קצר ופוקעים אחרי שעה. אם אתם משתמשים בספריות הלקוחות שלנו, פקיעת התוקף של אסימון הגישה והרענון שלו מטופלים בשבילכם באופן בטוח לשימוש בריבוי תהליכים. כל מה שצריך לעשות הוא ליצור אובייקט סשן של Google Ads API עם פרטי הכניסה המתאימים של OAuth, ולעשות בו שימוש חוזר במהלך חייו.
אם אתם יוצרים אסטרטגיה משלכם לרענון ולניהול של אסימוני גישה, כדאי לעקוב אחרי תאריך התפוגה של אסימון הגישה ולעשות בו שימוש חוזר כמה שיותר. אם אתם לא יודעים מתי בוצע הרענון האחרון של טוקן הגישה, אתם יכולים לנסות לרענן אותו, בהנחה שתוקף הטוקן כבר פג. אם תוקף אסימון הגישה לא עומד לפוג, השרת מחזיר את אותו אסימון גישה, יחד עם מספר המילישניות שנותרו עד שתוקף האסימון יפוג. מומלץ לכפות רענון של אסימון הגישה אם נותרו פחות מ-5 דקות עד לתפוגה.