Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan kredensial Anda

Panduan ini menunjukkan cara memastikan kredensial aplikasi dan pengguna Anda aman.

Menyelesaikan verifikasi Aplikasi OAuth

Cakupan OAuth 2.0 untuk Google Ads API diklasifikasikan sebagai cakupan terbatas, yang berarti Anda harus menyelesaikan proses verifikasi aplikasi OAuth sebelum memproduksi aplikasi. Lihat dokumentasi Google Identity dan artikel Pusat Bantuan untuk mempelajari lebih lanjut.

Mengamankan kredensial aplikasi

Anda harus mengamankan client ID dan rahasia klien OAuth 2.0 aplikasi Anda. Kredensial ini membantu pengguna dan Google mengidentifikasi aplikasi Anda, sehingga aplikasi tersebut harus ditangani dengan hati-hati. Anda harus memperlakukan kredensial aplikasi ini seperti sandi. Jangan membagikannya menggunakan mekanisme yang tidak aman seperti memposting di forum publik, mengirim file konfigurasi yang berisi kredensial ini dalam lampiran email, melakukan hard coding pada kredensial, atau mengirimkannya ke repositori kode. Sebaiknya gunakan secret manager seperti Google Cloud Secret manager atau AWS Secret Manager jika memungkinkan.

Jika rahasia klien OAuth 2.0 disusupi, Anda dapat menyetel ulang rahasia tersebut. Token developer juga dapat direset.

Mengamankan token developer

Token developer memungkinkan Anda melakukan panggilan API ke akun, tetapi tidak memiliki batasan pada akun mana yang dapat digunakan untuk melakukan panggilan. Akibatnya, token developer yang telah disusupi dapat digunakan oleh orang lain untuk melakukan panggilan yang diatribusikan ke aplikasi Anda. Untuk menghindari skenario ini, lakukan langkah-langkah pencegahan berikut:

Perlakukan token developer Anda seperti sandi. Jangan membagikannya menggunakan mekanisme yang tidak aman, seperti memposting di forum publik atau mengirim file konfigurasi yang berisi token developer sebagai lampiran email. Sebaiknya gunakan secret manager seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Jika token developer disusupi, Anda harus meresetnya.
- Login ke akun pengelola Google Ads yang Anda gunakan saat mengajukan permohonan untuk Google Ads API.
- Buka Tools & Settings > API Center.
- Klik panah drop-down di samping Token developer.
- Klik link Reset token. Token developer lama Anda akan segera berhenti berfungsi.
- Update konfigurasi produksi aplikasi Anda untuk menggunakan token developer baru.

Mengamankan akun layanan

Akun layanan memerlukan peniruan identitas di seluruh domain agar dapat berfungsi dengan benar dengan Google Ads API. Selain itu, Anda harus merupakan pelanggan Google Workspace untuk menyiapkan peniruan identitas di seluruh domain. Karena alasan ini, sebaiknya jangan gunakan akun layanan saat melakukan panggilan Google Ads API. Namun, jika memutuskan untuk menggunakan akun layanan, Anda harus mengamankannya seperti berikut:

Perlakukan kunci akun layanan dan file JSON Anda sebagai sandi. Amankan data tersebut menggunakan secret manager seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Ikuti praktik terbaik tambahan dari Google Cloud untuk mengamankan dan mengelola akun layanan Anda.

Mengamankan token pengguna

Jika aplikasi Anda mengizinkan beberapa pengguna, Anda harus melakukan langkah tambahan untuk melindungi token refresh dan akses pengguna. Simpan token dengan aman dalam penyimpanan dan jangan pernah mengirimkannya dalam teks biasa. Gunakan sistem penyimpanan aman yang sesuai untuk platform Anda.

Menangani pencabutan dan habis masa berlaku token refresh

Jika aplikasi Anda meminta token refresh OAuth 2.0 sebagai bagian dari otorisasi, Anda juga harus menangani pembatalan validasi atau berakhirnya masa berlaku token tersebut. Token refresh dapat dibatalkan karena berbagai alasan, dan aplikasi Anda harus merespons secara halus dengan memberi otorisasi ulang kepada pengguna pada sesi login berikutnya, atau membersihkan data sebagaimana mestinya. Tugas offline, seperti cron job, akan mendeteksi dan mencatat akun yang token refreshnya telah habis masa berlakunya, bukan terus membuat permintaan yang gagal. Google mungkin melakukan throttle pada aplikasi yang menghasilkan error tingkat tinggi selama jangka waktu berkelanjutan untuk menjaga stabilitas server API.

Mengelola izin untuk beberapa cakupan

Jika aplikasi Anda meminta otorisasi untuk beberapa cakupan OAuth 2.0, pengguna mungkin tidak memberikan semua cakupan OAuth yang Anda minta. Aplikasi Anda harus menangani denial of scope dengan menonaktifkan fitur yang relevan. Anda dapat meminta pengguna lagi lagi hanya setelah mereka dengan jelas menunjukkan intent untuk menggunakan fitur tertentu yang memerlukan cakupan. Gunakan otorisasi inkremental untuk meminta cakupan OAuth yang sesuai dalam kasus tersebut.

Jika fitur dasar aplikasi memerlukan beberapa cakupan, jelaskan persyaratan ini kepada pengguna sebelum meminta izin.