Para discutir e dar feedback sobre nossos produtos, participe do canal oficial do Google Ads no Discord no servidor da Comunidade de publicidade e medição do Google.

Esta página foi traduzida pela API Cloud Translation.

Proteger suas credenciais

Este guia mostra como garantir que seu aplicativo e as credenciais do usuário estejam seguros.

Conclua a verificação do app OAuth

O escopo do OAuth 2.0 para a API Google Ads é classificado como um escopo restrito. Isso significa que você precisa concluir o processo de verificação do aplicativo OAuth antes de colocar o aplicativo em produção. Consulte a documentação do Google Identity e o artigo da Central de Ajuda para saber mais.

Proteja as credenciais do aplicativo

Proteja o ID do cliente e a chave secreta do cliente OAuth 2.0 do seu aplicativo. Essas credenciais ajudam seus usuários e o Google a identificar seu aplicativo e, portanto, precisam ser tratadas com cuidado. Trate essas credenciais de aplicativo como senhas. Não as compartilhe usando mecanismos inseguros, como postar em fóruns públicos, enviar arquivos de configuração com essas credenciais em anexos de e-mail, codificar as credenciais ou enviá-las para um repositório de código. Recomendamos usar um gerenciador de secrets, como o Secret Manager do Google Cloud ou o AWS Secret Manager, sempre que possível.

Se as chaves secretas do cliente OAuth 2.0 forem comprometidas, redefina-as. Um token de desenvolvedor também pode ser redefinido.

Proteja o token de desenvolvedor

O token de desenvolvedor permite fazer chamadas de API para uma conta, mas não tem restrições sobre quais contas podem ser usadas para fazer as chamadas. Como resultado, um token de desenvolvedor comprometido pode ser usado por outra pessoa para fazer chamadas atribuídas ao seu aplicativo. Para evitar isso, tome estas medidas preventivas:

Trate seu token de desenvolvedor como uma senha. Não compartilhe usando mecanismos inseguros, como postar em fóruns públicos ou enviar arquivos de configuração com os tokens de desenvolvedor como anexo de e-mail. Recomendamos usar um gerenciador de secrets, como o Secret Manager do Google Cloud ou o AWS Secret Manager, sempre que possível.
Se o token de desenvolvedor estiver comprometido, redefina-o.
- Faça login na conta de administrador do Google Ads que você usou ao se inscrever na API Google Ads.
- Acesse Ferramentas e configurações > Central de APIs.
- Clique na seta suspensa ao lado de Token de desenvolvedor.
- Clique no link Redefinir token. O token de desenvolvedor antigo vai parar de funcionar imediatamente.
- Atualize a configuração de produção do aplicativo para usar o novo token de desenvolvedor.

Proteja as contas de serviço

As contas de serviço exigem a representação em todo o domínio para funcionar corretamente com a API Google Ads. Além disso, você precisa ser um cliente do Google Workspace para configurar a representação em todo o domínio. Por esses motivos, não recomendamos o uso de contas de serviço ao fazer chamadas da API Google Ads. No entanto, se você decidir usar contas de serviço, proteja-as da seguinte maneira:

Trate a chave da conta de serviço e o arquivo JSON como senhas. Proteja-os usando um gerenciador de secrets, como o Google Cloud Secret Manager ou o AWS Secret Manager, quando possível.
Siga as outras práticas recomendadas do Google Cloud para proteger e gerenciar suas contas de serviço.

Proteja os tokens de usuário

Se o app autorizar vários usuários, tome outras medidas para proteger os tokens de atualização e de acesso deles. Armazene os tokens de forma segura em repouso e nunca os transmita em texto simples. Use um sistema de armazenamento seguro adequado para sua plataforma.

Processar a revogação e a expiração do token de atualização

Se o app solicitar um token de atualização do OAuth 2.0 como parte da autorização, você também precisará processar a invalidação ou expiração dele. Os tokens de atualização podem ser invalidados por vários motivos, e seu aplicativo precisa responder de maneira adequada, reautorizando o usuário na próxima sessão de login ou limpando os dados dele conforme necessário. Os jobs off-line, como os cron jobs, precisam detectar e registrar contas cujos tokens de atualização expiraram, em vez de continuar fazendo solicitações com falha. O Google pode limitar aplicativos que geram altos níveis de erros por um período prolongado para manter a estabilidade dos servidores de API.

Gerenciar o consentimento para vários escopos

Se o app solicitar autorização para vários escopos do OAuth 2.0, o usuário poderá não conceder todos os escopos solicitados. O app precisa processar a negação de escopos desativando os recursos relevantes. Você só pode pedir novamente depois que o usuário indicar claramente a intenção de usar o recurso específico que exige o escopo. Use a autorização incremental para solicitar os escopos OAuth adequados nesses casos.

Se os recursos básicos do app exigirem vários escopos, explique essa exigência ao usuário antes de pedir o consentimento.

Visão geral

Avançar

Níveis de acesso