En esta guía, se muestra cómo asegurarte de que la aplicación y las credenciales de usuario estén seguras.
Completa la verificación de la app de OAuth
El alcance de OAuth 2.0 para la API de Google Ads se clasifica como un alcance restringido, lo que significa que debes completar el proceso de verificación de la aplicación de OAuth antes de producir tu aplicación. Consulta la documentación de Google Identity y el artículo del Centro de ayuda para obtener más información.
Protege las credenciales de la aplicación
Debes proteger el secreto de cliente y el ID de cliente de OAuth 2.0 de tu aplicación. Estas credenciales ayudan a tus usuarios y a Google a identificar tu aplicación y, por lo tanto, deben manejarse con cuidado. Debes tratar estas credenciales de la aplicación como contraseñas. No las compartas mediante mecanismos no seguros, como publicar en foros públicos, enviar archivos de configuración que contengan estas credenciales en archivos adjuntos de correo electrónico, codificar las credenciales o confirmarlas en un repositorio de código. Recomendamos usar un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager cuando sea posible.
Si los secretos del cliente de OAuth 2.0 están comprometidos, puedes restablecerlos. Un token de desarrollador también se puede restablecer.
Asegura el token de desarrollador
El token de desarrollador te permite realizar llamadas a la API a una cuenta, pero no tiene restricciones respecto de las cuentas con las que se puede usar para realizar las llamadas. Como resultado, otra persona puede usar un token de desarrollador vulnerado para realizar llamadas atribuidas a tu aplicación. Para evitar esta situación, toma estas medidas preventivas:
Trata tu token de desarrollador como una contraseña. No lo compartas mediante mecanismos no seguros, como publicaciones en foros públicos o enviar archivos de configuración que contengan los tokens de desarrollador como archivos adjuntos de correo electrónico. Recomendamos usar un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager, cuando sea posible.
Si su token de desarrollador se ve vulnerado, debe restablecerlo.
- Accede a la cuenta de administrador de Google Ads que usaste cuando solicitaste la API de Google Ads.
- Navega a Tools & Settings > API Center.
- Haz clic en la flecha desplegable junto a Token de desarrollador.
- Haz clic en el vínculo Restablecer token. Tu token de desarrollador anterior debería dejar de funcionar de inmediato.
- Actualiza la configuración de producción de tu aplicación para usar el nuevo token de desarrollador.
Protege las cuentas de servicio
Las cuentas de servicio requieren la suplantación de identidad en todo el dominio para funcionar correctamente con la API de Google Ads. Además, debes ser cliente de Google Workspace para configurar la suplantación de identidad en todo el dominio. Por estos motivos, no recomendamos usar cuentas de servicio cuando se realicen llamadas a la API de Google Ads. Sin embargo, si decides usar cuentas de servicio, debes protegerlas de la siguiente manera:
Trata la clave de la cuenta de servicio y el archivo JSON como contraseñas. Protégelos con un administrador de secretos, como Google Cloud Secret Manager o AWS Secret Manager, cuando sea posible.
Sigue las prácticas recomendadas adicionales de Google Cloud para proteger y administrar tus cuentas de servicio.
Protege los tokens de usuario
Si tu app autoriza a varios usuarios, debes tomar medidas adicionales para proteger los tokens de acceso y actualización de los usuarios. Almacena los tokens de forma segura en reposo y nunca los transmitas en texto sin formato. Usa un sistema de almacenamiento seguro apropiado para tu plataforma.
Cómo controlar la revocación y el vencimiento de los tokens de actualización
Si tu app solicita un token de actualización de OAuth 2.0 como parte de la autorización, también debes controlar su invalidación o vencimiento. Los tokens de actualización se pueden invalidar por varios motivos y tu aplicación debería responder de forma correcta, ya sea volviendo a autorizar al usuario durante la próxima sesión de acceso o limpiando sus datos según corresponda. Los trabajos sin conexión, como los cron, deben detectar y registrar las cuentas cuyos tokens de actualización vencieron, en lugar de continuar realizando solicitudes con errores. Google podría regular las aplicaciones que generan altos niveles de errores durante un período continuo para mantener la estabilidad de los servidores de la API.
Cómo administrar el consentimiento para varios permisos
Si tu app solicita autorización para varios permisos de OAuth 2.0, es posible que el usuario no otorgue todos los permisos de OAuth que solicitaste. Tu app debe controlar la denegación de permisos inhabilitando las funciones relevantes. Puedes volver a pedirle al usuario que indique claramente su intención de usar la función específica que requiere el alcance. Usa la autorización incremental para solicitar los permisos de OAuth apropiados en esos casos.
Si las funciones básicas de tu app requieren varios permisos, explícale este requisito al usuario antes de solicitar el consentimiento.