Bu kılavuz, uygulamanızın ve kullanıcı kimlik bilgilerinizin güvenliğini nasıl sağlayacağınızı gösterir.
OAuth Uygulama doğrulamasını tamamlayın
Google Ads API için OAuth 2.0 kapsamı kısıtlı kapsam olarak sınıflandırılır. Bu, başvurunuzu oluşturmadan önce OAuth uygulama doğrulama sürecini tamamlamanız gerektiği anlamına gelir. Daha fazla bilgi edinmek için Google Identity belgelerini ve Yardım Merkezi makalesini inceleyin.
Uygulama kimlik bilgilerinin güvenliğini sağlayın
Uygulamanızın OAuth 2.0 istemci kimliğinin ve istemci gizli anahtarının güvenliğini sağlamalısınız. Bu kimlik bilgileri, kullanıcılarınızın ve Google'ın uygulamanızı tanımlamasına yardımcı olduğundan dikkatli bir şekilde ele alınmalıdır. Bu uygulama kimlik bilgilerini şifre gibi kullanmalısınız. Kimlik bilgilerini herkese açık forumlarda yayınlama, bu kimlik bilgilerini içeren yapılandırma dosyalarını e-posta eklerinde gönderme, kimlik bilgilerini sabit olarak kodlama veya kod deposuna kaydetme gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizli anahtar yöneticisi kullanmanızı öneririz.
OAuth 2.0 istemci gizli anahtarlarınızın güvenliği ihlal edildiyse bunları sıfırlayabilirsiniz. Geliştirici jetonu da sıfırlanabilir.
Geliştirici jetonunun güvenliğini sağlayın
Geliştirici jetonu, bir hesaba API çağrıları yapmanıza izin verir, ancak çağrıları yapmak için hangi hesaplarla kullanılacağı konusunda herhangi bir kısıtlamaya tabi değildir. Sonuç olarak, güvenliği ihlal edilmiş bir geliştirici jetonu başkaları tarafından uygulamanızla ilişkilendirilen çağrılar yapmak için kullanılabilir. Bu senaryoyu önlemek için şu önleyici önlemleri alın:
Geliştirici jetonunuzu şifre gibi kullanın. Bu bilgileri herkese açık forumlarda yayınlama veya geliştirici jetonlarını e-posta eki olarak içeren yapılandırma dosyaları gönderme gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizli anahtar yönetici kullanmanızı öneririz.
Geliştirici jetonunuzun güvenliği ihlal edildiyse jetonunuzu sıfırlamanız gerekir.
- Google Ads API'ye başvururken kullandığınız Google Ads yönetici hesabında oturum açın.
- Araçlar ve Ayarlar > API Merkezi'ne gidin.
- Geliştirici jetonu'nun yanındaki açılır oku tıklayın.
- Jetonu sıfırla bağlantısını tıklayın. Eski geliştirici jetonunuz hemen çalışmayı durdurur.
- Yeni geliştirici jetonunu kullanmak için uygulamanızın üretim yapılandırmasını güncelleyin.
Hizmet hesaplarının güvenliğini sağlayın
Hizmet hesaplarının Google Ads API ile düzgün şekilde çalışması için alan genelinde kimliğe bürünme gerekir. Ayrıca, alan genelinde kimliğe bürünme ayarlarını yapmak için Google Workspace müşterisi olmanız gerekir. Bu nedenle, Google Ads API çağrıları yaparken hizmet hesaplarını kullanmamanızı öneririz. Ancak hizmet hesaplarını kullanmaya karar verirseniz bunların güvenliğini aşağıdaki şekilde sağlamalısınız:
Hizmet hesabı anahtarınızı ve JSON dosyanızı şifre olarak değerlendirin. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizli anahtar yöneticisi kullanarak anahtar kelimeleri güvence altına alın.
Hizmet hesaplarınızı güvenli hale getirmek ve yönetmek için Google Cloud'un sunduğu ek en iyi uygulamaları takip edin.
Kullanıcı jetonlarının güvenliğini sağlayın
Uygulamanız birden çok kullanıcıya yetki veriyorsa kullanıcıların yenileme ve erişim jetonlarını korumak için ek adımlar uygulamanız gerekir. Jetonları kullanımda değilken güvenli bir şekilde saklayın ve hiçbir zaman düz metin olarak iletmeyin. Platformunuza uygun güvenli bir depolama sistemi kullanın.
Yenileme jetonu iptali ve geçerlilik süresini işleme
Uygulamanız yetkilendirme kapsamında OAuth 2.0 yenileme jetonu isterse bunların geçersiz veya süre sonunu sizin de ele almanız gerekir. Yenileme jetonları çeşitli nedenlerle geçersiz kılınabilir ve uygulamanız, bir sonraki giriş oturumu sırasında kullanıcıyı yeniden yetkilendirerek veya verilerini uygun şekilde temizleyerek sorunsuz şekilde yanıt vermelidir. Cron işleri gibi çevrimdışı işler, başarısız istekler yapmaya devam etmek yerine yenileme jetonlarının süresi dolmuş hesapları algılayıp kaydetmelidir. Google, API sunucularının kararlılığını korumak için sürekli bir süre boyunca yüksek seviyede hata üreten uygulamaları kısıtlayabilir.
Birden fazla kapsam için izni yönetme
Uygulamanız birden çok OAuth 2.0 kapsamı için yetkilendirme istiyorsa kullanıcı, istediğiniz tüm OAuth kapsamlarını vermeyebilir. Uygulamanız, ilgili özellikleri devre dışı bırakarak kapsamların reddedilmesi sorununu ele almalıdır. Yalnızca kapsamı gerektiren belirli bir özelliği kullanma niyetini açıkça belirttikten sonra kullanıcıyı tekrar isteyebilirsiniz. Bu gibi durumlarda uygun OAuth kapsamları istemek için artımlı yetkilendirme kullanın.
Uygulamanızın temel özellikleri birden fazla kapsam gerektiriyorsa izin istemeden önce bu gereksinimi kullanıcıya açıklayın.