Ce guide explique comment vous assurer que vos identifiants d'application et vos identifiants utilisateur sont sécurisés.
Terminer la validation de l'application OAuth
Le champ d'application OAuth 2.0 pour l'API Google Ads est classé comme champ d'application restreint, ce qui signifie que vous devez suivre la procédure de validation de l'application OAuth avant de mettre votre application en production. Pour en savoir plus, consultez la documentation sur Google Identity et cet article du Centre d'aide.
Sécuriser les identifiants de l'application
Vous devez sécuriser l'ID client OAuth 2.0 et le code secret du client pour votre application. Ces identifiants permettent à vos utilisateurs et à Google d'identifier votre application. Vous devez donc les gérer avec précaution. Vous devez traiter ces identifiants d'application comme des mots de passe. Ne les partagez pas à l'aide de mécanismes non sécurisés, tels que la publication sur des forums publics, l'envoi de fichiers de configuration contenant ces identifiants dans des pièces jointes, le codage en dur des identifiants ou la validation dans un dépôt de code. Dans la mesure du possible, nous vous recommandons d'utiliser un gestionnaire de secrets tel que Google Cloud Secret Manager ou AWS Secret Manager.
Si vos codes secrets OAuth 2.0 sont compromis, vous pouvez les réinitialiser. Un jeton de développeur peut également être réinitialiser.
Sécuriser le jeton de développeur
Le jeton de développeur vous permet d'effectuer des appels d'API vers un compte, mais il n'est soumis à aucune restriction concernant les comptes avec lesquels il peut être utilisé pour effectuer ces appels. Par conséquent, un jeton de développeur compromis peut être utilisé par une autre personne pour effectuer des appels attribués à votre application. Pour éviter ce scénario, prenez les mesures préventives suivantes:
Traitez votre jeton de développeur comme un mot de passe. Ne le partagez pas à l'aide de mécanismes non sécurisés, tels que la publication sur des forums publics ou l'envoi de fichiers de configuration contenant les jetons de développeur en tant que pièce jointe à un e-mail. Dans la mesure du possible, nous vous recommandons d'utiliser un gestionnaire de secrets tel que Google Cloud Secret Manager ou AWS Secret Manager.
Si votre jeton de développeur est compromis, vous devez le réinitialiser.
- Connectez-vous au compte administrateur Google Ads que vous avez utilisé pour demander à bénéficier de l'API Google Ads.
- Accédez à Outils et paramètres > Centre API.
- Cliquez sur la flèche du menu déroulant à côté de Jeton de développeur.
- Cliquez sur le lien Réinitialiser le jeton. Votre ancien jeton de développeur devrait cesser immédiatement de fonctionner.
- Mettez à jour la configuration de production de votre application pour utiliser le nouveau jeton de développeur.
Sécuriser les comptes de service
Les comptes de service nécessitent une emprunt d'identité au niveau du domaine pour fonctionner correctement avec l'API Google Ads. De plus, vous devez être un client Google Workspace pour configurer l'emprunt d'identité au niveau du domaine. C'est pourquoi nous vous déconseillons d'utiliser des comptes de service lorsque vous effectuez des appels d'API Google Ads. Toutefois, si vous décidez d'utiliser des comptes de service, vous devez les sécuriser comme suit:
Traitez la clé de compte de service et le fichier JSON comme des mots de passe. Dans la mesure du possible, sécurisez-les à l'aide d'un gestionnaire de secrets tel que Google Cloud Secret Manager ou AWS Secret Manager.
Suivez les bonnes pratiques supplémentaires de Google Cloud pour sécuriser et gérer vos comptes de service.
Sécuriser les jetons utilisateur
Si votre application autorise plusieurs utilisateurs, vous devez prendre des mesures supplémentaires pour protéger les jetons d'actualisation et d'accès des utilisateurs. Stockez les jetons en toute sécurité au repos et ne les transmettez jamais en texte brut. Utilisez un système de stockage sécurisé adapté à votre plate-forme.
Gérer la révocation et l'expiration des jetons d'actualisation
Si votre application demande un jeton d'actualisation OAuth 2.0 dans le cadre de l'autorisation, vous devez également gérer son invalidation ou son expiration. Les jetons d'actualisation peuvent être incorrects pour diverses raisons. Votre application doit répondre normalement en autorisant de nouveau l'utilisateur lors de sa prochaine session de connexion ou en nettoyant ses données si nécessaire. Les tâches hors connexion, telles que les tâches Cron, doivent détecter et enregistrer les comptes dont les jetons d'actualisation ont expiré, au lieu de continuer à effectuer des requêtes ayant échoué. Google peut limiter les applications qui génèrent des niveaux élevés d'erreurs sur une période prolongée afin de maintenir la stabilité des serveurs d'API.
Gérer le consentement pour plusieurs champs d'application
Si votre application demande une autorisation pour plusieurs champs d'application OAuth 2.0, il est possible que l'utilisateur n'accorde pas tous les champs d'application OAuth que vous avez demandés. Votre application doit gérer le refus de champs d'application en désactivant les fonctionnalités concernées. Vous ne pouvez inviter l'utilisateur qu'après avoir clairement indiqué son intention d'utiliser la fonctionnalité spécifique qui nécessite le champ d'application. Dans ce cas, utilisez l'autorisation incrémentielle pour demander les champs d'application OAuth appropriés.
Si les fonctionnalités de base de votre application nécessitent plusieurs champs d'application, expliquez cette exigence à l'utilisateur avant de demander le consentement.