Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan kredensial Anda

Panduan ini menunjukkan cara memastikan aplikasi dan kredensial pengguna Anda aman.

Selesaikan verifikasi Aplikasi OAuth

Cakupan OAuth 2.0 untuk Google Ads API diklasifikasikan sebagai cakupan yang dibatasi, yang berarti Anda harus menyelesaikan proses verifikasi aplikasi OAuth sebelum membuat aplikasi. Lihat dokumentasi Google Identity dan artikel Pusat Bantuan untuk mempelajari lebih lanjut.

Mengamankan kredensial aplikasi

Anda harus mengamankan client ID OAuth 2.0 dan rahasia klien aplikasi Anda. Kredensial ini membantu pengguna dan Google mengidentifikasi aplikasi Anda, sehingga aplikasi tersebut harus ditangani dengan hati-hati. Anda harus memperlakukan kredensial aplikasi ini seperti sandi. Jangan membagikannya menggunakan mekanisme yang tidak aman, seperti memposting di forum publik, mengirim file konfigurasi yang berisi kredensial ini dalam lampiran email, melakukan hard coding kredensial, atau menyimpannya ke repositori kode. Sebaiknya gunakan secret manager seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.

Jika rahasia klien OAuth 2.0 disusupi, Anda dapat meresetnya. Token developer juga dapat direset.

Mengamankan token developer

Token developer memungkinkan Anda melakukan panggilan API ke sebuah akun, tetapi tidak memiliki batasan pada akun mana yang dapat digunakan untuk melakukan panggilan. Akibatnya, token developer yang disusupi dapat digunakan oleh orang lain untuk melakukan panggilan yang diatribusikan ke aplikasi Anda. Untuk menghindari skenario ini, lakukan langkah-langkah pencegahan berikut:

Perlakukan token developer Anda seperti sandi. Jangan membagikannya menggunakan mekanisme yang tidak aman, seperti memposting di forum publik atau mengirim file konfigurasi yang berisi token developer sebagai lampiran email. Sebaiknya gunakan secret manager seperti Google Cloud Secret manager atau AWS Secret Manager jika memungkinkan.
Jika token developer disusupi, Anda harus meresetnya.
- Login ke akun pengelola Google Ads yang Anda gunakan saat mengajukan permohonan untuk Google Ads API.
- Buka Alat & Setelan > Pusat API.
- Klik panah drop-down di samping Token developer.
- Klik link Reset token. Token developer lama akan segera berhenti berfungsi.
- Perbarui konfigurasi produksi aplikasi Anda untuk menggunakan token developer baru.

Mengamankan akun layanan

Akun layanan memerlukan peniruan identitas di seluruh domain agar dapat berfungsi dengan benar dengan Google Ads API. Selain itu, Anda harus menjadi pelanggan Google Workspace untuk menyiapkan peniruan identitas seluruh domain. Oleh karena itu, sebaiknya jangan gunakan akun layanan saat melakukan panggilan Google Ads API. Namun, jika memutuskan untuk menggunakan akun layanan, Anda harus mengamankannya seperti berikut:

Perlakukan kunci akun layanan dan file JSON Anda sebagai sandi. Amankan kunci tersebut menggunakan secret manager seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Ikuti praktik terbaik tambahan dari Google Cloud untuk mengamankan dan mengelola akun layanan Anda.

Mengamankan token pengguna

Jika aplikasi Anda memberikan otorisasi kepada beberapa pengguna, Anda harus melakukan langkah tambahan untuk melindungi token refresh dan akses pengguna. Simpan token dengan aman dalam penyimpanan dan jangan pernah mengirimkannya dalam teks biasa. Gunakan sistem penyimpanan aman yang sesuai dengan platform Anda.

Menangani pencabutan dan akhir masa berlaku token refresh

Jika aplikasi Anda meminta token refresh OAuth 2.0 sebagai bagian dari otorisasi, Anda juga harus menangani pembatalan validasi atau masa berlaku token tersebut. Token refresh dapat dibatalkan karena berbagai alasan, dan aplikasi Anda harus merespons dengan baik dengan memberi otorisasi ulang pengguna selama sesi login berikutnya, atau membersihkan datanya sesuai kebutuhan. Tugas offline, seperti cron job, harus mendeteksi dan mencatat akun yang token refresh-nya telah habis masa berlakunya, bukan melanjutkan pembuatan permintaan yang gagal. Google mungkin akan membatasi aplikasi yang menghasilkan tingkat error yang tinggi selama jangka waktu yang berkelanjutan untuk mempertahankan stabilitas server API.

Mengelola izin untuk beberapa cakupan

Jika aplikasi Anda meminta otorisasi untuk beberapa cakupan OAuth 2.0, pengguna mungkin tidak menyetujui semua cakupan OAuth yang Anda minta. Aplikasi Anda harus menangani penolakan cakupan dengan menonaktifkan fitur yang relevan. Anda dapat meminta kembali pengguna hanya setelah mereka menyatakan dengan jelas intent untuk menggunakan fitur tertentu yang memerlukan cakupan. Gunakan otorisasi inkremental untuk meminta cakupan OAuth yang sesuai dalam kasus tersebut.

Jika fitur dasar aplikasi Anda memerlukan beberapa cakupan, jelaskan persyaratan ini kepada pengguna sebelum meminta izin.