Neste guia, mostramos como garantir a segurança do aplicativo e das credenciais do usuário.
Conclua a verificação do app OAuth
O escopo do OAuth 2.0 para a Google Ads API está classificado como escopo restrito, o que significa que você precisa concluir o processo de verificação do aplicativo OAuth antes de colocar seu aplicativo em produção. Consulte a documentação do Google Identity e o artigo da Central de Ajuda para saber mais.
Proteger as credenciais do aplicativo
Você deve proteger o ID do cliente OAuth 2.0 e a chave secreta do cliente do seu aplicativo. Essas credenciais ajudam os usuários e o Google a identificar seu aplicativo e, portanto, precisam ser tratadas com cuidado. Trate essas credenciais do aplicativo como senhas. Não compartilhe-as usando mecanismos inseguros, como postar em fóruns públicos, enviar arquivos de configuração contendo essas credenciais em anexos de e-mail, codificar as credenciais ou confirmá-las em um repositório de código. Recomendamos usar um Secret Manager, como o Secret Manager do Google Cloud ou o AWS Secret Manager, sempre que possível.
Se as chaves secretas do cliente OAuth 2.0 forem comprometidas, será possível redefini-las. Um token de desenvolvedor também pode ser redefinido.
Proteger o token de desenvolvedor
Com o token de desenvolvedor, é possível fazer chamadas de API para uma conta, mas não há restrições quanto a quais contas ele pode usar para fazer essas chamadas. Como resultado, um token de desenvolvedor comprometido pode ser usado por outra pessoa para fazer chamadas atribuídas ao aplicativo. Para evitar esse cenário, tome as seguintes medidas preventivas:
Trate seu token de desenvolvedor como uma senha. Não o compartilhe usando mecanismos inseguros, como postar em fóruns públicos ou enviar arquivos de configuração contendo os tokens de desenvolvedor como um anexo de e-mail. Recomendamos usar um gerenciador de secrets, como o Google Cloud Secret Manager ou o AWS Secret Manager sempre que possível.
Se seu token de desenvolvedor for comprometido, redefina-o.
- Faça login na conta de administrador do Google Ads que você usou para se inscrever na API Google Ads.
- Acesse Ferramentas e configurações > Central de API.
- Clique na seta suspensa ao lado de Token de desenvolvedor.
- Clique no link Redefinir token. Seu token de desenvolvedor antigo deixará de funcionar imediatamente.
- Atualize a configuração de produção do seu aplicativo para usar o novo token de desenvolvedor.
Proteger as contas de serviço
As contas de serviço exigem a representação em todo o domínio para funcionar corretamente com a API Google Ads. Além disso, é necessário ser um cliente do Google Workspace para configurar a representação em todo o domínio. Por esses motivos, não recomendamos o uso de contas de serviço ao fazer chamadas da API Google Ads. No entanto, se você decidir usar contas de serviço, precisa protegê-las da seguinte maneira:
Trate a chave da conta de serviço e o arquivo JSON como senhas. Proteja-os usando um Secret Manager, como o Google Cloud Secret Manager ou o AWS Secret Manager quando possível.
Siga as outras práticas recomendadas do Google Cloud para proteger e gerenciar suas contas de serviço.
Proteger os tokens de usuário
Caso seu app autorize vários usuários, tome outras medidas para proteger os tokens de atualização e acesso deles. Armazene os tokens com segurança em repouso e nunca os transmita em texto simples. Use um sistema de armazenamento seguro adequado para sua plataforma.
Processar a revogação e a expiração do token de atualização
Se o app solicitar o token de atualização do OAuth 2.0 como parte da autorização, também será necessário processar a invalidação ou a expiração. Os tokens de atualização podem ser invalidados por vários motivos, e seu aplicativo deve responder de maneira adequada reautorizando o usuário durante a próxima sessão de login ou limpando os dados dele conforme apropriado. Jobs off-line, como cron jobs, precisam detectar e registrar contas com tokens de atualização expirados, em vez de continuar fazendo solicitações com falha. Para manter a estabilidade dos servidores da API, o Google limita os aplicativos que geram altos níveis de erros durante um período prolongado.
Gerenciar o consentimento para vários escopos
Se o app solicitar autorização para vários escopos do OAuth 2.0, é possível que o usuário não conceda todos os escopos do OAuth solicitados. Seu app precisa processar a negação de escopos desativando os recursos relevantes. Só será possível solicitar ao usuário novamente depois que ele indicar claramente a intenção de usar o recurso específico que exige o escopo. Nesses casos, use a autorização incremental para solicitar os escopos do OAuth apropriados.
Se os recursos básicos do app exigirem vários escopos, explique esse requisito ao usuário antes de solicitar o consentimento.