รักษาความปลอดภัยของข้อมูลเข้าสู่ระบบ

คู่มือนี้แสดงวิธีตรวจสอบว่าแอปพลิเคชันและข้อมูลเข้าสู่ระบบของผู้ใช้มีความปลอดภัย

ทำการยืนยันแอป OAuth ให้เสร็จสมบูรณ์

ขอบเขต OAuth 2.0 สำหรับ Google Ads API จัดอยู่ในขอบเขตที่จำกัด ซึ่งหมายความว่าคุณควรดำเนินการตามกระบวนการยืนยันแอปพลิเคชัน OAuth ให้เสร็จสมบูรณ์ก่อนทำแอปพลิเคชันจริง ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ Google Identity และบทความในศูนย์ช่วยเหลือ

สร้างความปลอดภัยในข้อมูลเข้าสู่ระบบของแอปพลิเคชัน

คุณควรรักษาความปลอดภัยรหัสไคลเอ็นต์ OAuth 2.0 และรหัสลับไคลเอ็นต์ของแอปพลิเคชัน ข้อมูลเข้าสู่ระบบเหล่านี้ช่วยให้ผู้ใช้และ Google ระบุแอปพลิเคชันของคุณได้ ดังนั้นจึงควรจัดการแอปพลิเคชันเหล่านี้อย่างระมัดระวัง คุณควรจัดการข้อมูลเข้าสู่ระบบของแอปพลิเคชัน เหมือนรหัสผ่าน อย่าแชร์ข้อมูลดังกล่าวโดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะ การส่งไฟล์การกำหนดค่าที่มีข้อมูลเข้าสู่ระบบเหล่านี้ในการแนบอีเมล การเข้ารหัสข้อมูลเข้าสู่ระบบแบบฮาร์ดโค้ด หรือคอมมิตข้อมูลไว้ในที่เก็บโค้ด เราขอแนะนำให้ใช้ Secret Manager เช่น Google Cloud Secret Manager หรือ AWS Secret Manager หากเป็นไปได้

หากรหัสลับไคลเอ็นต์ OAuth 2.0 ถูกบุกรุก คุณสามารถรีเซ็ตรหัสลับได้ นอกจากนี้ คุณยังรีเซ็ตโทเค็นของนักพัฒนาได้ด้วย

รักษาความปลอดภัยของโทเค็นของนักพัฒนา

โทเค็นของนักพัฒนาซอฟต์แวร์ให้คุณเรียกใช้ API กับบัญชีได้ แต่จะไม่มีข้อจำกัดว่าจะใช้บัญชีใดในการเรียกใช้ได้ ด้วยเหตุนี้ บุคคลอื่นจึงอาจใช้โทเค็นของนักพัฒนาที่ถูกบุกรุกเพื่อโทรออกโดยระบุได้ว่ามาจากแอปพลิเคชันของคุณ ในการหลีกเลี่ยงสถานการณ์นี้ ให้ใช้มาตรการป้องกันต่อไปนี้

  • ปฏิบัติต่อโทเค็นของนักพัฒนาเช่นเดียวกับรหัสผ่าน อย่าแชร์ข้อมูลโดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะหรือส่งไฟล์การกำหนดค่าที่มีโทเค็นของนักพัฒนาเป็นไฟล์แนบในอีเมล เราขอแนะนำให้ใช้เครื่องมือจัดการลับ เช่น Google Cloud Secret manager หรือ AWS Secret Manager หากเป็นไปได้

  • หากโทเค็นของนักพัฒนาของคุณถูกบุกรุก คุณควรรีเซ็ตโทเค็นดังกล่าว

    • ลงชื่อเข้าใช้บัญชีดูแลจัดการ Google Ads ที่คุณใช้เมื่อสมัคร Google Ads API
    • ไปที่เครื่องมือและการตั้งค่า > ศูนย์ API
    • คลิกลูกศรแบบเลื่อนลงถัดจากโทเค็นของนักพัฒนา
    • คลิกลิงก์รีเซ็ตโทเค็น โทเค็นของนักพัฒนาเดิมควรหยุดทำงานทันที
    • อัปเดตการกำหนดค่าเวอร์ชันที่ใช้งานจริงของแอปพลิเคชันของคุณเพื่อใช้โทเค็นของนักพัฒนาใหม่

รักษาความปลอดภัยของบัญชีบริการ

บัญชีบริการต้องมีการแอบอ้างทั่วทั้งโดเมนเพื่อให้ทำงานกับ Google Ads API ได้อย่างถูกต้อง นอกจากนี้ คุณควรเป็นลูกค้า Google Workspace เพื่อตั้งค่าการแอบอ้างเป็นบุคคลอื่นทั่วทั้งโดเมน ด้วยเหตุผลเหล่านี้ เราจึงไม่แนะนำให้ใช้บัญชีบริการเมื่อเรียกใช้ Google Ads API อย่างไรก็ตาม หากตัดสินใจที่จะใช้บัญชีบริการ คุณควรรักษาความปลอดภัยของบัญชีดังกล่าวดังนี้

ทำให้โทเค็นผู้ใช้ปลอดภัย

หากแอปให้สิทธิ์ผู้ใช้หลายคน คุณควรทำตามขั้นตอนเพิ่มเติมเพื่อปกป้องโทเค็นการรีเฟรชและการเข้าถึงของผู้ใช้ เก็บโทเค็นไว้อย่างปลอดภัยขณะเดียวกัน และห้ามส่งเป็นข้อความธรรมดา ใช้ระบบพื้นที่เก็บข้อมูลที่ปลอดภัย เหมาะกับแพลตฟอร์มของคุณ

จัดการการเพิกถอนและวันหมดอายุของโทเค็นการรีเฟรช

หากแอปขอโทเค็นการรีเฟรช OAuth 2.0 เป็นส่วนหนึ่งของการให้สิทธิ์ คุณต้องจัดการการใช้งานที่ไม่ถูกต้องหรือการหมดอายุด้วย โทเค็นการรีเฟรชอาจใช้ไม่ได้เนื่องจากสาเหตุหลายประการ และแอปพลิเคชันของคุณควรตอบสนองอย่างสวยงามโดยการให้สิทธิ์ผู้ใช้อีกครั้งในระหว่างเซสชันการเข้าสู่ระบบครั้งต่อไป หรือการล้างข้อมูลของผู้ใช้ตามความเหมาะสม งานออฟไลน์ เช่น งาน Cron ควรตรวจพบและบันทึกบัญชีที่โทเค็นการรีเฟรชหมดอายุแล้ว แทนการส่งคำขอที่ล้มเหลวอย่างต่อเนื่อง Google อาจควบคุมแอปพลิเคชันที่ก่อให้เกิดข้อผิดพลาดในปริมาณมากในช่วงระยะเวลาหนึ่งเพื่อรักษาความเสถียรของเซิร์ฟเวอร์ API

จัดการความยินยอมสำหรับหลายขอบเขต

หากแอปส่งคำขอการให้สิทธิ์สำหรับขอบเขต OAuth 2.0 หลายขอบเขต ผู้ใช้อาจไม่ให้สิทธิ์ขอบเขต OAuth ทั้งหมดที่คุณขอ แอปของคุณควรจัดการ การปฏิเสธขอบเขตโดยปิดใช้ฟีเจอร์ที่เกี่ยวข้อง คุณจะแจ้งผู้ใช้อีกครั้งได้ก็ต่อเมื่อผู้ใช้ได้ระบุอย่างชัดเจนว่าประสงค์จะใช้คุณลักษณะเฉพาะที่จำเป็นต้องใช้ขอบเขตเท่านั้น ใช้การให้สิทธิ์ที่เพิ่มขึ้นเพื่อส่งคำขอขอบเขต OAuth ที่เหมาะสมในกรณีเช่นนี้

หากฟีเจอร์พื้นฐานของแอปต้องใช้หลายขอบเขต ให้อธิบายข้อกำหนดนี้ให้ผู้ใช้ทราบก่อนที่จะขอความยินยอม

ก่อนหน้า
ภาพรวม
ถัดไป
ระดับการเข้าถึง