Neste guia, mostramos como garantir que seu aplicativo e as credenciais do usuário sejam seguros.
Conclua a verificação de apps OAuth
O escopo do OAuth 2.0 da API Google Ads é classificado como um escopo restrito, ou seja, é preciso concluir o processo de verificação do aplicativo OAuth antes de colocar seu aplicativo em produção. Consulte a documentação do Google Identity e o artigo da Central de Ajuda para saber mais.
Proteger as credenciais do aplicativo
Proteja o ID e a chave secreta do cliente do OAuth 2.0 do seu aplicativo. Essas credenciais ajudam os usuários e o Google a identificar o aplicativo e, por isso, precisam ser cuidadosamente tratadas. Trate essas credenciais de aplicativo como senhas. Não as compartilhe usando mecanismos não seguros, como publicar em fóruns públicos, enviar arquivos de configuração contendo essas credenciais em anexos de e-mail, codificar as credenciais ou confirmá-las em um repositório de código. Recomendamos o uso de um gerenciador de secrets, como o Google Cloud Secret manager ou o AWS Secret Manager quando possível.
Se as chaves secretas do cliente OAuth 2.0 forem comprometidas, será possível redefini-las. Um token de desenvolvedor também pode ser redefinido.
Proteger o token de desenvolvedor
Com o token de desenvolvedor, é possível fazer chamadas de API para uma conta, mas não há restrições sobre as contas em que ele pode ser usado. Como resultado, um token de desenvolvedor comprometido pode ser usado por outra pessoa para fazer chamadas atribuídas ao seu aplicativo. Para evitar esse cenário, tome estas medidas preventivas:
Trate seu token de desenvolvedor como uma senha. Não compartilhe usando mecanismos inseguros, como postar em fóruns públicos ou enviar arquivos de configuração contendo os tokens de desenvolvedor como um anexo de e-mail. Recomendamos o uso de um gerenciador de secrets, como o Google Cloud Secret Manager ou o AWS Secret Manager, quando possível.
Se seu token de desenvolvedor for comprometido, faça a redefinição.
- Faça login na conta de administrador do Google Ads que você usou ao se inscrever na API Google Ads.
- Acesse Ferramentas e configurações > Central de API.
- Clique na seta suspensa ao lado de Token de desenvolvedor.
- Clique no link Redefinir token. Seu token de desenvolvedor antigo deixará de funcionar imediatamente.
- Atualize a configuração de produção do aplicativo para usar o novo token de desenvolvedor.
Proteger as contas de serviço
As contas de serviço exigem a representação em todo o domínio para funcionar corretamente com a API Google Ads. Além disso, você precisa ser cliente do Google Workspace para configurar a representação em todo o domínio. Por esses motivos, não recomendamos o uso de contas de serviço ao fazer chamadas da Google Ads API. No entanto, se você decidir usar contas de serviço, proteja-as da seguinte maneira:
Trate a chave da sua conta de serviço e o arquivo JSON como senhas. Sempre que possível, proteja esses secrets usando um gerenciador de secrets, como o Google Cloud Secret Manager ou o AWS Secret Manager.
Siga as outras práticas recomendadas do Google Cloud para proteger e gerenciar suas contas de serviço.
Proteger os tokens de usuário
Se o app autorizar vários usuários, tome medidas adicionais para proteger os tokens de atualização e de acesso dos usuários. Armazene os tokens com segurança em repouso e nunca os transmita em texto simples. Use um sistema de armazenamento seguro adequado à sua plataforma.
Processar a revogação e a expiração do token de atualização
Caso seu app solicite o token de atualização do OAuth 2.0 como parte da autorização, você também precisará lidar com a invalidação ou expiração dele. Os tokens de atualização podem ser invalidados por vários motivos, e seu aplicativo precisa responder corretamente, reautorizando o usuário durante a próxima sessão de login ou limpando os dados dele conforme apropriado. Jobs off-line, como cron jobs, precisam detectar e registrar contas com tokens de atualização expirados, em vez de continuar a fazer solicitações com falha. O Google pode limitar os aplicativos que geram altos níveis de erros durante um período prolongado para manter a estabilidade dos servidores de API.
Gerenciar o consentimento para vários escopos
Se o app solicitar autorização para vários escopos do OAuth 2.0, talvez o usuário não conceda todos os escopos solicitados. Seu app precisa processar a negação de escopos desativando os recursos relevantes. Só é possível pedir ao usuário novamente depois que ele indicar claramente uma intent para usar o recurso específico que exige o escopo. Use a autorização incremental para solicitar os escopos OAuth adequados nesses casos.
Se os recursos básicos do app exigirem vários escopos, explique esse requisito ao usuário antes de solicitar o consentimento.