В этом руководстве показано, как обеспечить безопасность вашего приложения и учетных данных пользователя.
Завершите проверку приложения OAuth.
Область действия OAuth 2.0 для API Google Рекламы классифицируется как ограниченная область действия . Это означает, что перед созданием приложения необходимо пройти процедуру проверки приложения OAuth. Дополнительную информацию см. в документации по Google Identity и в статье Справочного центра .
Защитите учетные данные приложения
Вам следует защитить идентификатор клиента OAuth 2.0 и секрет клиента вашего приложения. Эти учетные данные помогают вашим пользователям и Google идентифицировать ваше приложение, поэтому с ними следует обращаться осторожно. Эти учетные данные приложения следует рассматривать как пароли. Не делитесь ими, используя небезопасные механизмы, такие как размещение на общедоступных форумах, отправка файлов конфигурации, содержащих эти учетные данные, во вложениях электронной почты, жесткое кодирование учетных данных или сохранение их в репозитории кода. Мы рекомендуем по возможности использовать секретный менеджер, например Google Cloud Secret Manager или AWS Secret Manager .
Если секреты вашего клиента OAuth 2.0 скомпрометированы, вы можете их сбросить . Токен разработчика также можно сбросить .
Защитите токен разработчика
Токен разработчика позволяет вам выполнять вызовы API к учетной записи, но не имеет ограничений на то, с какими учетными записями его можно использовать для выполнения вызовов. В результате скомпрометированный токен разработчика может быть использован кем-то другим для совершения вызовов, приписываемых вашему приложению. Чтобы избежать этого сценария, примите следующие профилактические меры:
Относитесь к своему токену разработчика как к паролю. Не делитесь им, используя небезопасные механизмы, такие как публикации на общедоступных форумах или отправка файлов конфигурации, содержащих токены разработчика, в виде вложения к электронной почте. Мы рекомендуем по возможности использовать секретный менеджер, например Google Cloud Secret Manager или AWS Secret Manager .
Если ваш токен разработчика скомпрометирован, вам следует сбросить его.
- Войдите в управляющий аккаунт Google Рекламы, который вы использовали при подаче заявки на Google Реклама API.
- Перейдите в Инструменты и настройки > Центр API .
- Нажмите стрелку раскрывающегося списка рядом с токеном разработчика .
- Нажмите ссылку Сбросить токен . Ваш старый токен разработчика должен немедленно перестать работать.
- Обновите рабочую конфигурацию вашего приложения, чтобы использовать новый токен разработчика.
Защитите сервисные аккаунты
Для правильной работы с Google Ads API сервисным аккаунтам требуется олицетворение на уровне домена. Кроме того, вы должны быть клиентом Google Workspace, чтобы настроить олицетворение на уровне домена. По этим причинам мы не рекомендуем использовать сервисные аккаунты при вызовах API Google Рекламы. Однако если вы решите использовать сервисные учетные записи, вам следует защитить их следующим образом:
Считайте ключ сервисной учетной записи и файл JSON паролями. Защитите их, если это возможно, с помощью секретного менеджера, такого как Google Cloud Secret Manager или AWS Secret Manager .
Следуйте дополнительным рекомендациям Google Cloud для защиты своих сервисных учетных записей и управления ими.
Защитите токены пользователей
Если ваше приложение авторизует несколько пользователей, вам следует предпринять дополнительные шаги для защиты токенов обновления и доступа пользователей. Храните токены в надежном месте и никогда не передавайте их в виде обычного текста. Используйте безопасную систему хранения, подходящую для вашей платформы.
Обработка отзыва и истечения срока действия токена обновления.
Если ваше приложение запрашивает токен обновления OAuth 2.0 в рамках авторизации, вы также должны обработать их аннулирование или истечение срока действия. Токены обновления могут быть признаны недействительными по разным причинам , и ваше приложение должно корректно отреагировать, повторно авторизовав пользователя во время следующего сеанса входа в систему или очистив его данные по мере необходимости. Автономные задания, такие как задания cron, должны обнаруживать и записывать учетные записи, токены обновления которых истек, вместо того, чтобы продолжать выполнять неудачные запросы. Google может ограничить приложения, которые генерируют высокий уровень ошибок в течение длительного периода времени, чтобы поддерживать стабильность серверов API.
Управление согласием для нескольких областей
Если ваше приложение запрашивает авторизацию для нескольких областей OAuth 2.0, пользователь может не предоставить все запрошенные вами области OAuth. Ваше приложение должно обрабатывать отказ в областях, отключив соответствующие функции. Вы можете запросить пользователя еще раз только после того, как он четко обозначит намерение использовать конкретную функцию, для которой требуется данная область. В таких случаях используйте дополнительную авторизацию для запроса соответствующих областей OAuth.
Если для основных функций вашего приложения требуется несколько областей, объясните это требование пользователю, прежде чем запрашивать согласие.