下表总结了应用应管理的凭据列表。如需了解各种应用类型,请参阅我们的 OAuth 文档。
| 身份验证工作流 | 凭据 | 凭据类型 | 用途 |
|---|---|---|---|
| 所有应用类型 | 开发者令牌 | 应用凭据 | 允许您使用具有已获批访问权限级别的 Google Ads API。 |
|
JavaScript Web 应用 Android 应用 |
OAuth 客户端 ID | 应用凭据 | 在执行 OAuth 流程时唯一标识应用。 |
| 访问令牌和刷新令牌 | 用户凭据 | 表示用户授权应用代表其访问其 Google Ads 账号。 | |
|
服务器端 Web 应用 桌面应用和 iOS 应用 电视和设备应用 |
OAuth 客户端 ID 和客户端密钥 | 应用凭据 | 在执行 OAuth 流程时唯一标识应用。 |
| 访问令牌和刷新令牌 | 用户凭据 | 表示用户授权应用代表其访问其 Google Ads 账号。 | |
| 服务账号 | OAuth 服务账号密钥 | 应用凭据 | 用于对 OAuth 请求进行签名。 |
| 服务账号的访问令牌 | 用户凭据 | 表示服务账号的授权。用户已与服务账号共享其 Google Ads 账号。 |
在管理 Google Ads API 应用的凭据时,请注意以下几点。
安全地处理应用凭据
应用凭据是指特定于应用的设置,不会因用户而异。请务必妥善保管 OAuth 应用凭据,因为拥有这些凭据的任何人都可以使用您应用的身份来访问用户信息。将 OAuth 应用凭据存储在安全的位置并加以保护,就像保护密码一样。尽可能使用 Secret 管理器(例如 Google Cloud Secret Manager)来存储应用凭据。您绝不能将客户端凭据提交到公开提供的代码库中。强烈建议您避免将它们提交到任何代码库。
安全地处理用户凭据
用户凭据是指代表用户授权的 OAuth 令牌。这些数据是用户委托给您的,他们授权您代表他们执行操作和访问数据,授权方式可以是直接通过身份验证来授权您的应用,也可以是间接通过与您的服务账号共享其 Google Ads 账号来授权。切勿以纯文本形式传输令牌,并且始终以静态加密形式存储令牌,以便在发生数据泄露时提供额外的保护。当您不再需要访问用户账号时,请撤消令牌或服务账号权限。撤消令牌后,请从应用或系统中永久删除这些令牌。
处理刷新令牌撤消和过期
如果您使用的是用户身份验证流程,则应注意刷新令牌随时可能失效。例如,如果您使用的是多用户身份验证流程,用户可以选择撤消对您应用的访问权限。虽然使用单用户身份验证流程的应用不太可能受到这种影响,但旨在保护用户的手动或自动流程仍可能会清除刷新令牌,或者刷新令牌可能会过期。如果您的应用需要令牌撤消通知才能为用户提供良好的体验,则必须与我们的跨账号保护服务集成。
在 API 请求中重复使用用户凭据
OAuth 访问令牌短期有效,会在一小时后过期。如果您使用我们的客户端库,系统会以线程安全的方式为您处理访问令牌过期和刷新。您只需使用适当的 OAuth 凭据构建一个 Google Ads API 会话对象,并在其整个生命周期内重复使用该对象。
如果您自行制定访问令牌刷新和管理策略,则应跟踪访问令牌的过期时间并尽可能重复使用访问令牌。如果您不知道访问令牌上次刷新时间,可以尝试刷新它,假设它已过期。如果访问令牌未接近失效,服务器会返回相同的访问令牌,以及令牌失效前的剩余毫秒数。我们建议在访问令牌的有效期还剩不到 5 分钟时,强制刷新访问令牌。