Questa guida mostra come assicurarti che le credenziali dell'applicazione e dell'utente siano protette.
Completa la verifica dell'app OAuth
L'ambito OAuth 2.0 per l'API Google Ads è classificato come ambito limitato, il che significa che devi completare la procedura di verifica dell'applicazione OAuth prima di eseguire la produzione dell'applicazione. Per saperne di più, consulta la documentazione di Google Identity e l'articolo del Centro assistenza.
Proteggi le credenziali dell'applicazione
Devi proteggere l'ID client e il client secret OAuth 2.0 della tua applicazione. Queste credenziali aiutano gli utenti e Google a identificare la tua applicazione e devono quindi essere gestite con attenzione. Devi trattare queste credenziali dell'applicazione come password. Non condividerle utilizzando meccanismi non sicuri, come la pubblicazione su forum pubblici, l'invio di file di configurazione contenenti queste credenziali negli allegati email, la codifica fissa delle credenziali o il commit in un repository di codice. Se possibile, ti consigliamo di utilizzare un gestore di segreti come Google Cloud Secret Manager o AWS Secret Manager.
Se i tuoi client secret OAuth 2.0 sono compromessi, puoi reimpostarli. Un token sviluppatore può anche essere reimpostato.
Proteggere il token sviluppatore
Il token sviluppatore ti consente di effettuare chiamate API a un account, ma non ha limitazioni sugli account con cui può essere utilizzato per effettuare le chiamate. Di conseguenza, un token sviluppatore compromesso può essere utilizzato da qualcun altro per effettuare chiamate attribuite alla tua applicazione. Per evitare questo scenario, adotta queste misure preventive:
Tratta il token sviluppatore come una password. Non condividerli utilizzando meccanismi non sicuri come la pubblicazione su forum pubblici o l'invio di file di configurazione contenenti i token sviluppatore come allegato email. Se possibile, ti consigliamo di utilizzare un gestore di segreti come Google Cloud Secret Manager o AWS Secret Manager.
Se il token sviluppatore è compromesso, devi reimpostarlo.
- Accedi all'account amministratore Google Ads che hai utilizzato per richiedere l'API Google Ads.
- Vai a Strumenti e impostazioni > Centro API.
- Fai clic sulla freccia del menu a discesa accanto a Token sviluppatore.
- Fai clic sul link Reimposta token. Il tuo vecchio token sviluppatore dovrebbe smettere di funzionare immediatamente.
- Aggiorna la configurazione di produzione dell'applicazione per utilizzare il nuovo token sviluppatore.
Proteggi gli account di servizio
Per funzionare correttamente con l'API Google Ads, gli account di servizio richiedono l'uso dell'impersonificazione a livello di dominio. Inoltre, per configurare l'impersonificazione a livello di dominio devi essere un cliente Google Workspace. Per questi motivi, sconsigliamo di utilizzare gli account di servizio per effettuare chiamate all'API Google Ads. Tuttavia, se decidi di utilizzare gli account di servizio, devi proteggerli nel seguente modo:
Tratta la chiave e il file JSON dell'account di servizio come password. Proteggili utilizzando un gestore di secret come Google Cloud Secret Manager o AWS Secret Manager, se possibile.
Segui le best practice aggiuntive di Google Cloud per proteggere e gestire i tuoi account di servizio.
Proteggere i token utente
Se la tua app autorizza più utenti, devi eseguire ulteriori passaggi per proteggere i token di aggiornamento e di accesso degli utenti. Memorizza i token in modo sicuro a riposo e non trasmetterli mai in testo normale. Utilizza un sistema di archiviazione sicuro appropriato per la tua piattaforma.
Gestire la revoca e la scadenza del token di aggiornamento
Se la tua app richiede il token di aggiornamento OAuth 2.0 nell'ambito dell'autorizzazione, devi anche gestire la relativa invalidità o scadenza. I token di aggiornamento potrebbero essere invalidati per vari motivi e la tua applicazione dovrebbe rispondere in modo appropriato autorizzando nuovamente l'utente durante la sessione di accesso successiva o pulendo i suoi dati, se opportuno. I job offline, come i job cron, devono rilevare e registrare gli account i cui token di aggiornamento sono scaduti, anziché continuare a effettuare richieste non riuscite. Google potrebbe limitare le applicazioni che generano livelli elevati di errori per un periodo di tempo prolungato per mantenere la stabilità dei server API.
Gestire il consenso per più ambiti
Se la tua app richiede l'autorizzazione per più ambiti OAuth 2.0, l'utente potrebbe non concedere tutti gli ambiti OAuth che hai richiesto. L'app deve gestire il rifiuto degli ambiti disattivando le funzionalità pertinenti. Puoi chiedere nuovamente all'utente di confermare solo dopo che ha indicato chiaramente l'intenzione di utilizzare la funzionalità specifica che richiede l'ambito. Utilizza l'autorizzazione incrementale per richiedere gli ambiti OAuth appropriati in questi casi.
Se le funzionalità di base della tua app richiedono più ambiti, spiega questo requisito all'utente prima di chiedergli il consenso.