รักษาความปลอดภัยของข้อมูลเข้าสู่ระบบ

คู่มือนี้จะแสดงวิธีตรวจสอบว่าแอปพลิเคชันและข้อมูลเข้าสู่ระบบของผู้ใช้มีความปลอดภัย

ทำการยืนยันแอป OAuth ให้เสร็จสมบูรณ์

ขอบเขต OAuth 2.0 สำหรับ Google Ads API จัดเป็นขอบเขตที่จำกัด ซึ่งหมายความว่าคุณควรดำเนินการตามกระบวนการยืนยันแอปพลิเคชัน OAuth ให้เสร็จสมบูรณ์ก่อนที่จะใช้งานแอปพลิเคชันจริง ดูข้อมูลเพิ่มเติมได้ในเอกสารประกอบของ Google Identity และบทความในศูนย์ช่วยเหลือ

รักษาความปลอดภัยของข้อมูลเข้าสู่ระบบแอปพลิเคชัน

คุณควรรักษาความปลอดภัยให้รหัสไคลเอ็นต์ OAuth 2.0 และรหัสลับไคลเอ็นต์ของแอปพลิเคชัน ข้อมูลเข้าสู่ระบบเหล่านี้ช่วยให้ผู้ใช้และ Google ระบุแอปพลิเคชันของคุณได้ ดังนั้นจึงควรจัดการอย่างรอบคอบ คุณควรใช้ข้อมูลเข้าสู่ระบบของแอปพลิเคชันเหล่านี้ เช่นเดียวกับรหัสผ่าน อย่าแชร์ไฟล์โดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะ การส่งไฟล์การกำหนดค่าที่มีข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์แนบอีเมล ฮาร์ดโค้ดข้อมูลเข้าสู่ระบบ หรือการคอมมิตข้อมูลเข้าสู่ระบบที่เก็บโค้ด ขอแนะนำให้ใช้ Secret Manager เช่น Google Cloud Secret Manager หรือ AWS Secret Manager หากทำได้

หากรหัสลับไคลเอ็นต์ OAuth 2.0 ถูกบุกรุก คุณก็รีเซ็ตได้ คุณรีเซ็ตโทเค็นของนักพัฒนาซอฟต์แวร์ได้ด้วย

รักษาความปลอดภัยให้โทเค็นของนักพัฒนาซอฟต์แวร์

โทเค็นของนักพัฒนาซอฟต์แวร์ช่วยให้คุณเรียก API ไปยังบัญชีได้ แต่ไม่มีข้อจำกัดว่าสามารถใช้บัญชีใดในการเรียก ด้วยเหตุนี้ บุคคลอื่นจึงอาจใช้โทเค็นของนักพัฒนาที่ถูกบุกรุกเพื่อโทรออกไปยังแอปพลิเคชันของคุณ โปรดใช้มาตรการป้องกันเหล่านี้เพื่อหลีกเลี่ยงสถานการณ์เช่นนี้

  • จัดการโทเค็นของนักพัฒนาเช่นเดียวกับรหัสผ่าน อย่าแชร์โดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะหรือส่งไฟล์การกำหนดค่าที่มีโทเค็นนักพัฒนาซอฟต์แวร์เป็นไฟล์แนบในอีเมล เราขอแนะนําให้ใช้ผู้จัดการลับ เช่น Google Cloud Secret Manager หรือ AWS Secret Manager หากทำได้

  • หากโทเค็นของนักพัฒนาถูกบุกรุก คุณควรรีเซ็ตโทเค็นดังกล่าว

    • ลงชื่อเข้าใช้บัญชีดูแลจัดการ Google Ads ที่คุณใช้เมื่อสมัคร Google Ads API
    • ไปที่เครื่องมือและการตั้งค่า > ศูนย์ API
    • คลิกลูกศรแบบเลื่อนลงซึ่งอยู่ถัดจากโทเค็นของนักพัฒนา
    • คลิกลิงก์รีเซ็ตโทเค็น โทเค็นของนักพัฒนาเก่า ควรหยุดทำงานทันที
    • อัปเดตการกำหนดค่าเวอร์ชันที่ใช้งานจริงของแอปพลิเคชันเพื่อใช้โทเค็นของนักพัฒนาใหม่

รักษาความปลอดภัยให้บัญชีบริการ

บัญชีบริการต้องมีการแอบอ้างเป็นบุคคลอื่นทั่วทั้งโดเมนเพื่อให้ทำงานกับ Google Ads API ได้อย่างถูกต้อง นอกจากนี้ คุณควรเป็นลูกค้า Google Workspace เพื่อตั้งค่าการแอบอ้างบุคคลอื่นทั่วทั้งโดเมน ด้วยเหตุนี้ เราจึงไม่ควรใช้บัญชีบริการเมื่อเรียกใช้ Google Ads API อย่างไรก็ตาม หากตัดสินใจที่จะใช้บัญชีบริการ คุณควรรักษาความปลอดภัยบัญชีดังกล่าวโดยทำดังนี้

รักษาความปลอดภัยของโทเค็นผู้ใช้

หากแอปให้สิทธิ์ผู้ใช้หลายคน คุณควรทำตามขั้นตอนเพิ่มเติมเพื่อปกป้องโทเค็นเพื่อการเข้าถึงและรีเฟรชของผู้ใช้ โปรดเก็บโทเค็นให้ปลอดภัยขณะพัก และอย่าส่งเป็นข้อความธรรมดา ใช้ระบบพื้นที่เก็บข้อมูลที่ปลอดภัย ซึ่งเหมาะสำหรับแพลตฟอร์มของคุณ

จัดการการเพิกถอนและการหมดอายุโทเค็นการรีเฟรช

หากแอปขอโทเค็นการรีเฟรช OAuth 2.0 เป็นส่วนหนึ่งของการให้สิทธิ์ คุณต้องจัดการกับการใช้งานไม่ได้หรือหมดอายุด้วย โทเค็นการรีเฟรชอาจใช้ไม่ได้ด้วยเหตุผลหลายประการ และแอปพลิเคชันของคุณควรตอบสนองอย่างเหมาะสม ไม่ว่าจะโดยการให้สิทธิ์ผู้ใช้อีกครั้งในเซสชันการเข้าสู่ระบบครั้งถัดไป หรือล้างข้อมูลของผู้ใช้ตามความเหมาะสม งานออฟไลน์ เช่น งาน Cron ควรตรวจหาและบันทึกบัญชีที่โทเค็นการรีเฟรชหมดอายุ แทนที่จะดำเนินการตามคำขอที่ไม่สำเร็จต่อไป Google อาจควบคุมแอปพลิเคชันที่สร้างข้อผิดพลาดระดับสูงเป็นระยะเวลานานเพื่อรักษาความเสถียรของเซิร์ฟเวอร์ API

จัดการความยินยอมสำหรับหลายขอบเขต

หากแอปขอสิทธิ์สำหรับขอบเขต OAuth 2.0 หลายรายการ ผู้ใช้อาจไม่ให้ขอบเขต OAuth ทั้งหมดที่คุณขอ แอปควรจัดการกับการปฏิเสธขอบเขตโดยปิดใช้ฟีเจอร์ที่เกี่ยวข้อง คุณจะแจ้งให้ผู้ใช้อีกครั้งได้ก็ต่อเมื่อผู้ใช้ระบุความตั้งใจในการใช้ฟีเจอร์ที่เฉพาะเจาะจงซึ่งจำเป็นต้องใช้ขอบเขตไว้อย่างชัดเจนเท่านั้น ใช้การให้สิทธิ์ที่เพิ่มขึ้นเพื่อขอขอบเขต OAuth ที่เหมาะสมในกรณีเช่นนี้

หากฟีเจอร์พื้นฐานของแอปต้องใช้ขอบเขตหลายขอบเขต ให้อธิบายข้อกำหนดนี้ให้ผู้ใช้ทราบก่อนที่จะแจ้งขอความยินยอม

ก่อนหน้า
ภาพรวม
ถัดไป
ระดับการเข้าถึง