क्या आपको Google Ads API के बारे में सुझाव, शिकायत या राय देनी है? उपयोगकर्ताओं पर की जाने वाली रिसर्च में हिस्सा लेने का न्योता पाने के लिए, साइन अप करें!

इस पेज का अनुवाद Cloud Translation API से किया गया है.

अपने क्रेडेंशियल सुरक्षित रखें

इस गाइड में, यह पक्का करने का तरीका बताया गया है कि आपका ऐप्लिकेशन और उपयोगकर्ता के क्रेडेंशियल सुरक्षित हों.

OAuth ऐप्लिकेशन की पुष्टि करना

Google Ads API के लिए OAuth 2.0 के दायरे को प्रतिबंधित दायरा के तौर पर रखा गया है. इसका मतलब है कि आपको अपने ऐप्लिकेशन को प्रोडक्शन में इस्तेमाल करने से पहले, OAuth ऐप्लिकेशन की पुष्टि की प्रक्रिया पूरी करनी होगी. ज़्यादा जानने के लिए, Google Identity से जुड़ा दस्तावेज़ और सहायता केंद्र का लेख पढ़ें.

ऐप्लिकेशन के क्रेडेंशियल सुरक्षित करना

आपको अपने ऐप्लिकेशन के OAuth 2.0 क्लाइंट आईडी और क्लाइंट सीक्रेट को सुरक्षित रखना चाहिए. इन क्रेडेंशियल की मदद से, आपके उपयोगकर्ता और Google आपके ऐप्लिकेशन की पहचान कर पाते हैं. इसलिए, इन्हें सावधानी से मैनेज करना चाहिए. आपको इन ऐप्लिकेशन क्रेडेंशियल को पासवर्ड की तरह इस्तेमाल करना चाहिए. उन्हें असुरक्षित तरीकों से शेयर न करें. जैसे, सार्वजनिक फ़ोरम पर पोस्ट करना, ईमेल अटैचमेंट में इन क्रेडेंशियल वाली कॉन्फ़िगरेशन फ़ाइलें भेजना, क्रेडेंशियल को हार्ड कोड करना या उन्हें कोड रिपॉज़िटरी में डालना. हमारा सुझाव है कि जब भी हो सके, Google Cloud Secret manager या AWS Secret Manager जैसे सीक्रेट मैनेजर का इस्तेमाल करें.

अगर आपके OAuth 2.0 क्लाइंट सीक्रेट का गलत इस्तेमाल किया जाता है, तो उन्हें रीसेट किया जा सकता है. डेवलपर टोकन को रीसेट भी किया जा सकता है.

डेवलपर टोकन को सुरक्षित करना

डेवलपर टोकन की मदद से, किसी खाते को एपीआई कॉल किए जा सकते हैं. हालांकि, इस बात पर कोई पाबंदी नहीं है कि कॉल करने के लिए, इसका इस्तेमाल किन खातों के साथ किया जा सकता है. इस वजह से, हैक किए गए डेवलपर टोकन का इस्तेमाल, कोई और आपके ऐप्लिकेशन के नाम से कॉल करने के लिए कर सकता है. इस स्थिति से बचने के लिए, ये उपाय अपनाएं:

अपने डेवलपर टोकन को पासवर्ड की तरह इस्तेमाल करें. इसे असुरक्षित तरीकों से शेयर न करें. जैसे, सार्वजनिक फ़ोरम पर पोस्ट करना या ईमेल अटैचमेंट के तौर पर, डेवलपर टोकन वाली कॉन्फ़िगरेशन फ़ाइलें भेजना. हमारा सुझाव है कि जब भी हो सके, Google Cloud Secret Manager या AWS Secret Manager जैसे सीक्रेट मैनेजर का इस्तेमाल करें.
अगर आपके डेवलपर टोकन से छेड़छाड़ हुई है, तो आपको उसे रीसेट करना चाहिए.
- उस Google Ads मैनेजर खाते में साइन इन करें जिसका इस्तेमाल आपने Google Ads API के लिए आवेदन करते समय किया था.
- टूल और सेटिंग > एपीआई सेंटर पर जाएं.
- डेवलपर टोकन के बगल में मौजूद ड्रॉप-डाउन ऐरो पर क्लिक करें.
- टोकन रीसेट करें लिंक पर क्लिक करें. आपका पुराना डेवलपर टोकन तुरंत काम करना बंद कर देगा.
- नए डेवलपर टोकन का इस्तेमाल करने के लिए, अपने ऐप्लिकेशन के प्रोडक्शन कॉन्फ़िगरेशन को अपडेट करें.

सेवा खातों को सुरक्षित करना

सेवा खातों को डोमेन-वाइड इंपोर्टेशन की ज़रूरत होती है, ताकि वे Google Ads API के साथ सही तरीके से काम कर सकें. इसके अलावा, डोमेन-वाइड इंपोर्टेशन सेट अप करने के लिए, आपके पास Google Workspace का ग्राहक होना चाहिए. इन वजहों से, हमारा सुझाव है कि Google Ads API कॉल करते समय, सेवा खातों का इस्तेमाल न करें. हालांकि, अगर आपको सेवा खातों का इस्तेमाल करना है, तो आपको उन्हें इस तरह सुरक्षित करना चाहिए:

अपने सेवा खाते की कुंजी और JSON फ़ाइल को पासवर्ड के तौर पर इस्तेमाल करें. अगर हो सके, तो Google Cloud Secret Manager या AWS Secret Manager जैसे सीक्रेट मैनेजर का इस्तेमाल करके उन्हें सुरक्षित रखें.
अपने सेवा खातों को सुरक्षित रखने और मैनेज करने के लिए, Google Cloud के अन्य सबसे सही तरीके अपनाएं.

उपयोगकर्ता टोकन को सुरक्षित करना

अगर आपका ऐप्लिकेशन एक से ज़्यादा उपयोगकर्ताओं को अनुमति देता है, तो आपको उपयोगकर्ताओं के रीफ़्रेश और ऐक्सेस टोकन को सुरक्षित रखने के लिए कुछ और कदम उठाने होंगे. टोकन को स्टोर करने के लिए सुरक्षित तरीके का इस्तेमाल करें. साथ ही, उन्हें कभी भी सादे टेक्स्ट में ट्रांसमिट न करें. अपने प्लैटफ़ॉर्म के हिसाब से, सुरक्षित स्टोरेज सिस्टम का इस्तेमाल करें.

रीफ़्रेश टोकन को रद्द करने और उसकी समयसीमा खत्म होने की स्थिति को मैनेज करना

अगर आपका ऐप्लिकेशन, अनुमति के हिस्से के तौर पर OAuth 2.0 रीफ़्रेश टोकन का अनुरोध करता है, तो आपको टोकन के अमान्य होने या उसकी समयसीमा खत्म होने की स्थिति को भी मैनेज करना होगा. रीफ़्रेश टोकन कई वजहों से अमान्य हो सकते हैं. ऐसे में, आपके ऐप्लिकेशन को उपयोगकर्ता के अगले लॉगिन सेशन के दौरान, उसे फिर से अनुमति देकर या ज़रूरत के हिसाब से उसका डेटा मिटाकर, बेहतर तरीके से जवाब देना चाहिए. ऑफ़लाइन जॉब, जैसे कि क्रॉन जॉब को, उन खातों का पता लगाना चाहिए और उन्हें रिकॉर्ड करना चाहिए जिनके रीफ़्रेश टोकन की समयसीमा खत्म हो चुकी है. ऐसा करने से, अनुरोध पूरा न होने की समस्या को लगातार हल करने की ज़रूरत नहीं पड़ेगी. Google, एपीआई सर्वर को स्थिर रखने के लिए, ऐसे ऐप्लिकेशन को सीमित कर सकता है जो लंबे समय तक ज़्यादा गड़बड़ियां जनरेट करते हैं.

एक से ज़्यादा स्कोप के लिए सहमति मैनेज करना

अगर आपका ऐप्लिकेशन एक से ज़्यादा OAuth 2.0 स्कोप के लिए अनुमति का अनुरोध करता है, तो हो सकता है कि उपयोगकर्ता आपके अनुरोध किए गए सभी OAuth स्कोप को अनुमति न दे. आपके ऐप्लिकेशन को काम की सुविधाओं को बंद करके, स्कोप के अस्वीकार होने की समस्या को मैनेज करना चाहिए. उपयोगकर्ता को फिर से अनुमति सिर्फ़ तब मांगी जा सकती है, जब वह साफ़ तौर पर यह बता दे कि उसे उस सुविधा का इस्तेमाल करना है जिसके लिए अनुमति की ज़रूरत है. ऐसे मामलों में, ज़रूरी OAuth स्कोप का अनुरोध करने के लिए, बढ़ती हुई अनुमति का इस्तेमाल करें.

अगर आपके ऐप्लिकेशन की बुनियादी सुविधाओं के लिए कई स्कोप की ज़रूरत है, तो सहमति का अनुरोध करने से पहले उपयोगकर्ता को इस ज़रूरत के बारे में बताएं.