Bu kılavuzda, uygulamanızın ve kullanıcı kimlik bilgilerinizin güvenliğini nasıl sağlayacağınız gösterilmektedir.
OAuth uygulaması doğrulamasını tamamlama
Google Ads API'nin OAuth 2.0 kapsamı kısıtlanmış kapsam olarak sınıflandırılır. Bu, uygulamanızı üretime sunmadan önce OAuth uygulama doğrulama sürecini tamamlamanız gerektiği anlamına gelir. Daha fazla bilgi için Google Kimlik belgelerine ve Yardım Merkezi makalesine göz atın.
Uygulama kimlik bilgilerini güvence altına alma
Uygulamanızın OAuth 2.0 istemci kimliğini ve istemci gizli anahtarını güvence altına almanız gerekir. Bu kimlik bilgileri, kullanıcılarınızın ve Google'ın uygulamanızı tanımlamasına yardımcı olur. Bu nedenle, bu bilgiler dikkatli bir şekilde kullanılmalıdır. Bu uygulama kimlik bilgilerini şifreler gibi ele almalısınız. Bu kimlik bilgilerini herkese açık forumlarda yayınlama, e-posta eklerinde bu kimlik bilgilerini içeren yapılandırma dosyaları gönderme, kimlik bilgilerini sabit kodlama veya bir kod deposuna gönderme gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkünse Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizlilik yöneticisi kullanmanızı öneririz.
OAuth 2.0 istemci sırlarınızın güvenliği ihlal edilirse sırlarınızı sıfırlayabilirsiniz. Geliştirici jetonları da sıfırlanabilir.
Geliştirici jetonunu koruma
Geliştirici jetonu, bir hesaba API çağrısı yapmanıza olanak tanır ancak çağrı yapmak için hangi hesaplarla kullanılabileceği konusunda herhangi bir kısıtlama yoktur. Sonuç olarak, güvenliği ihlal edilmiş bir geliştirici jetonu, başka bir kişi tarafından uygulamanızla ilişkili aramalar yapmak için kullanılabilir. Bu senaryoyu önlemek için aşağıdaki önleyici tedbirleri alın:
Geliştirici jetonunuzu bir şifre gibi kullanın. Herkese açık forumlarda yayınlama veya geliştirici jetonlarını içeren yapılandırma dosyalarını e-posta eki olarak gönderme gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkünse Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizli yönetici kullanmanızı öneririz.
Geliştirici jetonunuzun güvenliği ihlal edildiyse jetonu sıfırlamanız gerekir.
- Google Ads API'ye başvururken kullandığınız Google Ads yönetici hesabında oturum açın.
- Araçlar ve Ayarlar > API Merkezi'ne gidin.
- Geliştirici jetonu'nun yanındaki açılır oku tıklayın.
- Jetonu sıfırla bağlantısını tıklayın. Eski geliştirici jetonunuz hemen çalışmayı durdurur.
- Uygulamanızın üretim yapılandırmasını yeni geliştirici jetonunu kullanacak şekilde güncelleyin.
Hizmet hesaplarının güvenliğini sağlama
Hizmet hesaplarının Google Ads API ile düzgün çalışması için alan adı genelinde kimliğe bürünme gerekir. Ayrıca, alan adı genelinde kimliğe bürünme özelliğini ayarlamak için Google Workspace müşterisi olmanız gerekir. Bu nedenle, Google Ads API çağrıları yaparken hizmet hesaplarını kullanmamanızı öneririz. Ancak hizmet hesaplarını kullanmaya karar verirseniz bunları aşağıdaki şekilde güvence altına almanız gerekir:
Hizmet hesabı anahtarınızı ve JSON dosyanızı şifre olarak kullanın. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizli anahtar yöneticisi kullanarak bu anahtarları güvence altına alın.
Hizmet hesaplarınızın güvenliğini sağlamak ve yönetmek için Google Cloud'un ek en iyi uygulamalarını uygulayın.
Kullanıcı jetonlarını güvence altına alma
Uygulamanız birden fazla kullanıcıyı yetkilendiriyorsa kullanıcıların yenileme ve erişim jetonlarını korumak için ek adımlar atmanız gerekir. Jetonları dinlenme halindeyken güvenli bir şekilde saklayın ve hiçbir zaman düz metin olarak iletmeyin. Platformunuza uygun güvenli bir depolama sistemi kullanın.
Yenileme jetonunun iptal edilmesi ve süresinin dolması ile ilgili işlemleri yapma
Uygulamanız, yetkilendirmenin bir parçası olarak OAuth 2.0 yenileme jetonu istiyorsa bu jetonların geçersiz kılınması veya süresinin dolması ile ilgili işlemleri de yapmanız gerekir. Yenileme jetonları çeşitli nedenlerle geçersiz kılınabilir. Uygulamanız, kullanıcıyı bir sonraki giriş oturumunda yeniden yetkilendirerek veya verilerini uygun şekilde temizleyerek bu duruma uygun şekilde yanıt vermelidir. Cron görevleri gibi çevrimdışı işler, başarısız istek göndermeye devam etmek yerine yenileme jetonlarının süresi dolmuş hesapları tespit edip kaydetmelidir. Google, API sunucularının kararlılığını korumak için uzun süre boyunca yüksek düzeyde hata oluşturan uygulamaları kısıtlayabilir.
Birden fazla kapsam için izinleri yönetme
Uygulamanız birden fazla OAuth 2.0 kapsamı için yetkilendirme isterse kullanıcı, istediğiniz tüm OAuth kapsamlarını vermeyebilir. Uygulamanız, ilgili özellikleri devre dışı bırakarak kapsamların reddedilmesini ele almalıdır. Kullanıcıdan yalnızca kapsam gerektiren belirli bir özelliği kullanma niyetini açıkça belirttikten sonra tekrar istekde bulunabilirsiniz. Bu gibi durumlarda uygun OAuth kapsamlarını istemek için artımlı yetkilendirme kullanın.
Uygulamanızın temel özellikleri birden fazla kapsam gerektiriyorsa izin istemeden önce bu koşulu kullanıcıya açıklayın.