Möchten Sie uns Feedback zur Google Ads API geben? Melde dich an, um an Nutzerstudien teilzunehmen.

Diese Seite wurde von der Cloud Translation API übersetzt.

Anmeldedaten schützen

In diesem Leitfaden erfahren Sie, wie Sie dafür sorgen, dass Ihre Anwendung und Nutzeranmeldedaten sicher sind.

OAuth-Anwendungsüberprüfung abschließen

Der OAuth 2.0-Bereich für die Google Ads API ist als eingeschränkter Bereich klassifiziert. Sie müssen die OAuth-Anwendungsüberprüfung also abschließen, bevor Sie Ihre Anwendung in die Produktion übernehmen. Weitere Informationen finden Sie in der Google Identity-Dokumentation und im Hilfeartikel.

Anmeldedaten für die Anwendung schützen

Sie sollten die OAuth 2.0-Client-ID und den Clientschlüssel Ihrer Anwendung schützen. Anhand dieser Anmeldedaten können Ihre Nutzer und Google Ihre Anwendung identifizieren. Sie sollten daher mit Bedacht behandelt werden. Sie sollten mit diesen Anmeldedaten für die Anwendung wie mit Passwörtern umgehen. Geben Sie sie nicht über unsichere Mechanismen weiter, z. B. durch das Posten in öffentlichen Foren, das Senden von Konfigurationsdateien mit diesen Anmeldedaten in E-Mail-Anhängen, das Hartcodieren der Anmeldedaten oder das Committen in einem Code-Repository. Wir empfehlen nach Möglichkeit die Verwendung eines Secret Managers wie Google Cloud Secret Manager oder AWS Secret Manager.

Wenn Ihre OAuth 2.0-Clientschlüssel manipuliert wurden, können Sie sie zurücksetzen. Ein Entwicklertoken kann auch zurückgesetzt werden.

Entwicklertoken schützen

Mit dem Entwicklertoken können Sie API-Aufrufe an ein Konto senden. Es gibt jedoch keine Einschränkungen, für welche Konten die Aufrufe verwendet werden können. Daher kann ein manipuliertes Entwicklertoken von anderen Personen verwendet werden, um Aufrufe auszuführen, die Ihrer Anwendung zugeordnet werden. So kannst du das vermeiden:

Behandeln Sie Ihr Entwicklertoken wie ein Passwort. Geben Sie sie nicht über unsichere Mechanismen weiter, z. B. durch das Posten in öffentlichen Foren oder das Senden von Konfigurationsdateien mit den Entwicklertokens als E-Mail-Anhang. Wir empfehlen, nach Möglichkeit einen Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager zu verwenden.
Wenn Ihr Entwicklertoken manipuliert wurde, sollten Sie es zurücksetzen.
- Melden Sie sich in dem Google Ads-Verwaltungskonto an, das Sie bei der Beantragung der Google Ads API verwendet haben.
- Gehen Sie zu Tools und Einstellungen > API-Center.
- Klicken Sie auf den Drop-down-Pfeil neben Entwicklertoken.
- Klicken Sie auf den Link Token zurücksetzen. Ihr altes Entwicklertoken sollte sofort nicht mehr funktionieren.
- Aktualisieren Sie die Produktionskonfiguration Ihrer Anwendung, um das neue Entwicklertoken zu verwenden.

Dienstkonten schützen

Dienstkonten erfordern die domainweite Identitätsdiebstahl-Funktion, damit sie richtig mit der Google Ads API funktionieren. Außerdem müssen Sie Google Workspace-Kunde sein, um die domainweite Identitätsdiebstahl-Funktion einzurichten. Aus diesen Gründen empfehlen wir, Dienstkonten nicht für Google Ads API-Aufrufe zu verwenden. Wenn Sie sich jedoch für die Verwendung von Dienstkonten entscheiden, sollten Sie sie so schützen:

Behandeln Sie den Dienstkontoschlüssel und die JSON-Datei wie Passwörter. Schützen Sie sie nach Möglichkeit mit einem Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager.
Befolgen Sie die zusätzlichen Best Practices von Google Cloud, um Ihre Dienstkonten zu schützen und zu verwalten.

Nutzertokens schützen

Wenn Ihre App mehrere Nutzer autorisiert, sollten Sie zusätzliche Maßnahmen ergreifen, um die Aktualisierungs- und Zugriffstokens der Nutzer zu schützen. Speichern Sie die Tokens sicher im Ruhezustand und übertragen Sie sie niemals im Klartext. Verwenden Sie ein sicheres Speichersystem, das für Ihre Plattform geeignet ist.

Widerruf und Ablauf von Aktualisierungstokens verarbeiten

Wenn Ihre App im Rahmen der Autorisierung ein OAuth 2.0-Aktualisierungstoken anfordert, müssen Sie auch die Ungültigkeit oder das Ablaufen des Tokens verarbeiten. Aktualisierungstokens können aus verschiedenen Gründen ungültig werden. Ihre Anwendung sollte dann entweder die Autorisierung des Nutzers bei der nächsten Anmeldesession neu vornehmen oder die Daten entsprechend bereinigen. Bei Offlinejobs wie Cron-Jobs sollten Konten, deren Aktualisierungstokens abgelaufen sind, erkannt und protokolliert werden, anstatt weiterhin fehlgeschlagene Anfragen zu senden. Google kann Anwendungen drosseln, die über einen längeren Zeitraum hinweg viele Fehler verursachen, um die Stabilität der API-Server aufrechtzuerhalten.

Einwilligung für mehrere Bereiche verwalten

Wenn Ihre App die Autorisierung für mehrere OAuth 2.0-Bereiche anfordert, gewährt der Nutzer möglicherweise nicht alle angeforderten OAuth-Bereiche. Ihre App sollte den Widerruf von Berechtigungen verarbeiten, indem die entsprechenden Funktionen deaktiviert werden. Sie können den Nutzer erst dann noch einmal um Erlaubnis bitten, wenn er klar und deutlich erklärt hat, dass er die jeweilige Funktion verwenden möchte, für die der Umfang erforderlich ist. Verwenden Sie die inkrementelle Autorisierung, um in solchen Fällen die entsprechenden OAuth-Bereiche anzufordern.

Wenn für die grundlegenden Funktionen Ihrer App mehrere Bereiche erforderlich sind, erläutern Sie diese Anforderung dem Nutzer, bevor Sie um seine Einwilligung bitten.