Untuk mendiskusikan dan memberikan masukan tentang produk kami, bergabunglah ke channel Discord Google Ads resmi di server Komunitas Iklan dan Pengukuran Google.

Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan kredensial Anda

Panduan ini menunjukkan cara memastikan kredensial pengguna dan aplikasi Anda aman.

Menyelesaikan verifikasi Aplikasi OAuth

Cakupan OAuth 2.0 untuk Google Ads API diklasifikasikan sebagai cakupan terbatas, yang berarti Anda harus menyelesaikan proses verifikasi aplikasi OAuth sebelum memproduksi aplikasi Anda. Lihat dokumentasi Google Identity dan artikel Pusat Bantuan untuk mempelajari lebih lanjut.

Mengamankan kredensial aplikasi

Anda harus mengamankan client ID OAuth 2.0 dan rahasia klien aplikasi Anda. Kredensial ini membantu pengguna dan Google mengidentifikasi aplikasi Anda, sehingga harus ditangani dengan hati-hati. Anda harus memperlakukan kredensial aplikasi ini seperti sandi. Jangan bagikan kredensial tersebut menggunakan mekanisme yang tidak aman seperti memposting di forum publik, mengirim file konfigurasi yang berisi kredensial ini dalam lampiran email, meng-hard code kredensial, atau melakukan commit ke repositori kode. Sebaiknya gunakan secret manager seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.

Jika rahasia klien OAuth 2.0 Anda disusupi, Anda dapat meresetnya. Token developer juga dapat direset.

Mengamankan token developer

Token developer memungkinkan Anda melakukan panggilan API ke akun, tetapi tidak memiliki batasan terkait akun yang dapat digunakan untuk melakukan panggilan. Akibatnya, token developer yang disusupi dapat digunakan oleh orang lain untuk melakukan panggilan yang diatribusikan ke aplikasi Anda. Untuk menghindari skenario ini, lakukan tindakan pencegahan berikut:

Perlakukan token developer Anda seperti sandi. Jangan membagikannya menggunakan mekanisme yang tidak aman seperti memposting di forum publik atau mengirim file konfigurasi yang berisi token developer sebagai lampiran email. Sebaiknya gunakan pengelola secret seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Jika token developer Anda disusupi, Anda harus meresetnya.
- Login ke akun pengelola Google Ads yang Anda gunakan saat mengajukan permohonan untuk Google Ads API.
- Buka Alat & Setelan > Pusat API.
- Klik panah drop-down di samping Token developer.
- Klik link Reset token. Token developer lama Anda akan segera berhenti berfungsi.
- Perbarui konfigurasi produksi aplikasi Anda untuk menggunakan token developer baru.

Mengamankan akun layanan

Akun layanan memerlukan peniruan tingkat domain agar berfungsi dengan benar dengan Google Ads API. Selain itu, Anda harus menjadi pelanggan Google Workspace untuk menyiapkan peniruan tingkat domain. Oleh karena itu, sebaiknya jangan gunakan akun layanan saat melakukan panggilan Google Ads API. Namun, jika Anda memutuskan untuk menggunakan akun layanan, Anda harus mengamankannya sebagai berikut:

Perlakukan kunci akun layanan dan file JSON Anda seperti sandi. Amankan menggunakan pengelola rahasia seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Ikuti praktik terbaik tambahan dari Google Cloud untuk mengamankan dan mengelola akun layanan Anda.

Mengamankan token pengguna

Jika aplikasi Anda mengizinkan beberapa pengguna, Anda harus melakukan langkah-langkah tambahan untuk melindungi token akses dan refresh pengguna. Simpan token dengan aman saat tidak digunakan dan jangan pernah mengirimkannya dalam teks biasa. Gunakan sistem penyimpanan aman yang sesuai untuk platform Anda.

Menangani pencabutan dan masa berlaku token refresh

Jika aplikasi Anda meminta token refresh OAuth 2.0 sebagai bagian dari otorisasi, Anda juga harus menangani pembatalan atau masa berlakunya yang habis. Token refresh dapat dibatalkan karena berbagai alasan, dan aplikasi Anda harus merespons dengan baik, baik dengan memberikan otorisasi ulang kepada pengguna selama sesi login berikutnya, atau membersihkan datanya sebagaimana mestinya. Tugas offline, seperti tugas cron, harus mendeteksi dan mencatat akun yang token refresh-nya telah habis masa berlakunya, bukan terus membuat permintaan yang gagal. Google dapat membatasi aplikasi yang menghasilkan tingkat error tinggi selama jangka waktu yang berkelanjutan untuk menjaga stabilitas server API.

Mengelola izin untuk beberapa cakupan

Jika aplikasi Anda meminta otorisasi untuk beberapa cakupan OAuth 2.0, pengguna mungkin tidak memberikan semua cakupan OAuth yang Anda minta. Aplikasi Anda harus menangani penolakan cakupan dengan menonaktifkan fitur yang relevan. Anda dapat meminta pengguna lagi hanya setelah mereka dengan jelas menunjukkan niat untuk menggunakan fitur tertentu yang memerlukan cakupan. Gunakan otorisasi inkremental untuk meminta cakupan OAuth yang sesuai dalam kasus tersebut.

Jika fitur dasar aplikasi Anda memerlukan beberapa cakupan, jelaskan persyaratan ini kepada pengguna sebelum meminta izin.