Diese Seite wurde von der Cloud Translation API übersetzt.

Anmeldedaten schützen

In diesem Leitfaden erfahren Sie, wie Sie dafür sorgen können, dass Ihre Anwendungs- und Nutzeranmeldedaten geschützt sind.

OAuth-App-Überprüfung abschließen

Der OAuth 2.0-Bereich für die Google Ads API ist als eingeschränkter Bereich klassifiziert. Sie müssen daher die OAuth-Anwendungsüberprüfung ausführen, bevor Sie Ihre Anwendung erstellen. Weitere Informationen finden Sie in der Google Identity-Dokumentation und im Hilfeartikel.

Anmeldedaten der Anwendung sichern

Schützen Sie die OAuth 2.0-Client-ID und den Clientschlüssel Ihrer Anwendung. Diese Anmeldedaten helfen deinen Nutzern und Google, deine Anwendung zu identifizieren. Daher solltest du sie sorgfältig behandeln. Sie sollten diese Anmeldedaten für Anwendungen wie Passwörter behandeln. Geben Sie sie nicht über unsichere Mechanismen wie das Posten in öffentlichen Foren, das Senden von Konfigurationsdateien mit diesen Anmeldedaten in E-Mail-Anhängen, die Hartcodierung der Anmeldedaten oder die Übertragung in einem Code-Repository frei. Wir empfehlen, nach Möglichkeit einen Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager zu verwenden.

Wenn Ihre OAuth 2.0-Clientschlüssel manipuliert wurden, können Sie sie zurücksetzen. Ein Entwicklertoken kann auch zurückgesetzt werden.

Entwicklertoken sichern

Mit dem Entwicklertoken können Sie API-Aufrufe an ein Konto ausführen. Es gibt jedoch keine Einschränkungen im Hinblick darauf, mit welchen Konten es verwendet werden kann. Daher kann ein manipuliertes Entwicklertoken von einer anderen Person für Aufrufe verwendet werden, die Ihrer Anwendung zugeordnet sind. Ergreifen Sie diese vorbeugenden Maßnahmen, um dieses Szenario zu vermeiden:

Behandeln Sie Ihr Entwicklertoken wie ein Passwort. Es ist nicht zulässig, sie über unsichere Mechanismen wie das Posten in öffentlichen Foren oder das Senden von Konfigurationsdateien mit Entwicklertokens als E-Mail-Anhang zu senden. Wir empfehlen, nach Möglichkeit einen Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager zu verwenden.
Wenn Ihr Entwicklertoken manipuliert wurde, sollten Sie es zurücksetzen.
- Melden Sie sich in dem Google Ads-Verwaltungskonto an, mit dem Sie die Google Ads API beantragt haben.
- Gehen Sie zu Tools und Einstellungen > API-Center.
- Klicken Sie auf den Drop-down-Pfeil neben Entwicklertoken.
- Klicken Sie auf den Link Token zurücksetzen. Ihr altes Entwicklertoken sollte ab sofort nicht mehr funktionieren.
- Aktualisieren Sie die Produktionskonfiguration Ihrer Anwendung, um das neue Entwicklertoken zu verwenden.

Dienstkonten schützen

Für Dienstkonten ist der domainweite Identitätswechsel erforderlich, damit die Google Ads API ordnungsgemäß funktioniert. Außerdem sollten Sie Google Workspace-Kunde sein, um den domainweiten Identitätswechsel einzurichten. Aus diesen Gründen raten wir davon ab, für Google Ads API-Aufrufe Dienstkonten zu verwenden. Wenn Sie sich jedoch für die Verwendung von Dienstkonten entscheiden, sollten Sie diese so sichern:

Behandeln Sie Ihren Dienstkontoschlüssel und die JSON-Datei als Passwörter. Schützen Sie sie nach Möglichkeit mit einem Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager.
Befolgen Sie die zusätzlichen Best Practices von Google Cloud, um Ihre Dienstkonten zu sichern und zu verwalten.

Nutzertokens sichern

Wenn Ihre Anwendung mehrere Nutzer autorisiert, sollten Sie zusätzliche Schritte unternehmen, um die Aktualisierungs- und Zugriffstokens der Nutzer zu schützen. Bewahren Sie die Tokens inaktiv sicher auf und übertragen Sie sie niemals als reinen Text. Verwenden Sie ein sicheres Speichersystem, das für Ihre Plattform geeignet ist.

Umgang mit dem Widerruf und Ablauf von Aktualisierungstokens

Wenn Ihre Anwendung im Rahmen der Autorisierung OAuth 2.0-Aktualisierungstoken anfordert, müssen Sie auch deren Entwertung oder Ablauf handhaben. Aktualisierungstokens können aus verschiedenen Gründen entwertet werden und Ihre Anwendung sollte ordnungsgemäß reagieren, indem sie den Nutzer bei der nächsten Anmeldesitzung noch einmal autorisiert oder gegebenenfalls seine Daten bereinigt. Offlinejobs wie Cronjobs sollten Konten, deren Aktualisierungstoken abgelaufen sind, erkennen und aufzeichnen, anstatt fehlgeschlagene Anfragen weiterhin zu senden. Google kann Anwendungen drosseln, die über einen längeren Zeitraum viele Fehler generieren, um die Stabilität der API-Server aufrechtzuerhalten.

Einwilligung für mehrere Bereiche verwalten

Wenn Ihre Anwendung die Autorisierung für mehrere OAuth 2.0-Bereiche anfordert, gewährt der Nutzer möglicherweise nicht alle angeforderten OAuth-Bereiche. Ihre Anwendung sollte mit dem Ablehnen von Bereichen umgehen und die entsprechenden Features deaktivieren. Sie können den Nutzer erst noch einmal auffordern, nachdem er klar angegeben hat, dass er die bestimmte Funktion verwenden möchte, für die der Umfang erforderlich ist. Verwenden Sie in solchen Fällen die inkrementelle Autorisierung, um geeignete OAuth-Bereiche anzufordern.

Wenn für die grundlegenden Funktionen Ihrer Anwendung mehrere Bereiche erforderlich sind, erklären Sie dem Nutzer diese Anforderung, bevor Sie zur Einwilligung auffordern.