Bu kılavuzda, uygulamanızın ve kullanıcı kimlik bilgilerinizin güvenliğini nasıl sağlayacağınız gösterilmektedir.
OAuth Uygulaması doğrulamasını tamamlama
Google Ads API için OAuth 2.0 kapsamı kısıtlı kapsam olarak sınıflandırılır. Bu nedenle, uygulamanızı üretime sunmadan önce OAuth uygulama doğrulama sürecini tamamlamanız gerekir. Daha fazla bilgi edinmek için Google Kimliği belgelerini ve Yardım Merkezi makalesini inceleyin.
Uygulama kimlik bilgilerinin güvenliğini sağlama
Uygulamanızın OAuth 2.0 istemci kimliğinin ve istemci gizli anahtarının güvenliğini sağlamalısınız. Bu kimlik bilgileri, kullanıcılarınızın ve Google'ın uygulamanızı tanımlamalarına yardımcı olduğundan dikkatli bir şekilde ele alınmalıdır. Bu uygulama kimlik bilgilerini şifre gibi işlemeniz gerekir. Bunları herkese açık forumlara yayınlama, bu kimlik bilgilerini içeren yapılandırma dosyalarını e-posta eklerinde gönderme, kimlik bilgilerini sabit kodlama veya bir kod deposuna aktarma gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizli anahtar yöneticisi kullanmanızı öneririz.
OAuth 2.0 istemci gizli anahtarlarınızın güvenliği ihlal edilirse bunları sıfırlayabilirsiniz. Geliştirici jetonu da sıfırlanabilir.
Geliştirici jetonunun güvenliğini sağlayın
Geliştirici jetonu, bir hesaba API çağrıları yapmanıza olanak tanır ancak çağrı yapmak için hangi hesaplarla kullanılabileceğine dair kısıtlama yoktur. Sonuç olarak, güvenliği ihlal edilmiş bir geliştirici jetonu başkaları tarafından uygulamanızla ilişkilendirilen çağrılar yapmak için kullanılabilir. Bu senaryoyu önlemek için şu önleyici tedbirleri alın:
Geliştirici jetonunuzu şifre gibi kullanın. Herkese açık forumlarda yayınlama veya geliştirici jetonlarını içeren yapılandırma dosyalarını e-posta eki olarak gönderme gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkün olduğunda Google Cloud Secret manager veya AWS Secret Manager gibi bir gizli yönetici yöneticisi kullanmanızı öneririz.
Geliştirici jetonunuzun güvenliği ihlal edilmişse jetonu sıfırlamanız gerekir.
- Google Ads API'ye başvururken kullandığınız Google Ads yönetici hesabında oturum açın.
- Araçlar ve Ayarlar > API Merkezi'ne gidin.
- Geliştirici jetonu'nun yanındaki açılır oku tıklayın.
- Jetonu sıfırla bağlantısını tıklayın. Eski geliştirici jetonunuz çalışmayı hemen durdurur.
- Uygulamanızın üretim yapılandırmasını yeni geliştirici jetonunu kullanacak şekilde güncelleyin.
Hizmet hesaplarının güvenliğini sağlama
Hizmet hesaplarının Google Ads API ile düzgün şekilde çalışması için alan genelinde kimliğe bürünme işlemi gerekir. Ayrıca, alan genelinde kimliğe bürünme ayarlarını yapmak için Google Workspace müşterisi olmanız gerekir. Bu nedenle, Google Ads API çağrıları yaparken hizmet hesaplarını kullanmamanızı öneririz. Ancak hizmet hesapları kullanmaya karar verirseniz aşağıdaki şekilde güvenli hale getirmelisiniz:
Hizmet hesabı anahtarınızı ve JSON dosyanızı şifre olarak değerlendirin. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir gizli anahtar yöneticisi kullanarak bunların güvenliğini sağlayın.
Hizmet hesaplarınızı korumak ve yönetmek için Google Cloud'daki diğer en iyi uygulamaları takip edin.
Kullanıcı jetonlarının güvenliğini sağlayın
Uygulamanız birden fazla kullanıcıyı yetkilendiriyorsa kullanıcıların yenileme ve erişim jetonlarını korumak için ek adımlar atmanız gerekir. Jetonları aktif değilken güvenli bir şekilde saklayın ve asla düz metin olarak iletmeyin. Platformunuza uygun güvenli bir depolama sistemi kullanın.
Yenileme jetonu iptali ve geçerlilik süresini yönetme
Uygulamanız, yetkilendirme kapsamında OAuth 2.0 yenileme jetonu istiyorsa bu jetonların geçersiz kılınması veya geçerlilik süresinin sona erme işlemlerini de gerçekleştirmeniz gerekir. Yenileme jetonları çeşitli nedenlerle geçersiz kılınabilir ve uygulamanız, bir sonraki giriş oturumu sırasında kullanıcıyı yeniden yetkilendirerek veya verilerini uygun şekilde temizleyerek sorunsuz bir şekilde yanıt vermelidir. Cron işleri gibi çevrimdışı işler, başarısız istek yapmaya devam etmek yerine yenileme jetonlarının süresi dolan hesapları algılayıp kaydetmelidir. Google, API sunucularının kararlılığını korumak için uzun bir süre boyunca yüksek seviyelerde hata oluşturan uygulamaları kısıtlayabilir.
Birden fazla kapsam için izni yönetme
Uygulamanız birden fazla OAuth 2.0 kapsamı için yetkilendirme isterse kullanıcı istediğiniz tüm OAuth kapsamlarını veremeyebilir. Uygulamanız, ilgili özellikleri devre dışı bırakarak kapsamların reddedilmesini ele almalıdır. Yalnızca kapsamı gerektiren belirli özelliği kullanmak istediğini açıkça belirttikten sonra kullanıcıyı tekrar isteyebilirsiniz. Bu tür durumlarda uygun OAuth kapsamları istemek için artımlı yetkilendirme kullanın.
Uygulamanızın temel özellikleri için birden fazla kapsam gerekiyorsa izin istemeden önce bu şartı kullanıcıya açıklayın.