รักษาความปลอดภัยของข้อมูลเข้าสู่ระบบ

คู่มือนี้แสดงวิธีตรวจสอบว่าข้อมูลเข้าสู่ระบบของแอปพลิเคชันและผู้ใช้มีความปลอดภัย

ทำการยืนยันแอป OAuth ให้เสร็จสมบูรณ์

ขอบเขต OAuth 2.0 สำหรับ Google Ads API จัดอยู่ในประเภทขอบเขตที่จำกัด ซึ่งหมายความว่าคุณควรทําตามกระบวนการยืนยันแอปพลิเคชัน OAuth ให้เสร็จสมบูรณ์ก่อนที่จะนําแอปพลิเคชันไปใช้จริง ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ Google Identity และบทความในศูนย์ช่วยเหลือ

รักษาความปลอดภัยของข้อมูลเข้าสู่ระบบของแอปพลิเคชัน

คุณควรรักษาความปลอดภัยของรหัสไคลเอ็นต์ OAuth 2.0 และรหัสลับไคลเอ็นต์ของแอปพลิเคชัน ข้อมูลเข้าสู่ระบบเหล่านี้ช่วยให้ผู้ใช้และ Google ระบุแอปพลิเคชันของคุณได้ ดังนั้นคุณจึงควรจัดการข้อมูลเข้าสู่ระบบเหล่านี้อย่างระมัดระวัง คุณควรถือว่าข้อมูลเข้าสู่ระบบของแอปพลิเคชันเหล่านี้ เป็นรหัสผ่าน อย่าแชร์โดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะ การส่งไฟล์การกำหนดค่าที่มีข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์แนบอีเมล การฮาร์ดโค้ดข้อมูลเข้าสู่ระบบ หรือการส่งไปยังที่เก็บโค้ด เราขอแนะนำให้ใช้เครื่องมือจัดการลับ เช่น Google Cloud Secret Manager หรือ AWS Secret Manager หากเป็นไปได้

หากรหัสลับไคลเอ็นต์ OAuth 2.0 ถูกบุกรุก คุณสามารถรีเซ็ตรหัสลับได้ นอกจากนี้ คุณยังรีเซ็ตโทเค็นนักพัฒนาแอปได้ด้วย

รักษาโทเค็นของนักพัฒนาให้ปลอดภัย

โทเค็นของนักพัฒนาซอฟต์แวร์ช่วยให้คุณเรียก API ไปยังบัญชีได้ แต่ไม่มีข้อจำกัดเกี่ยวกับบัญชีที่ใช้ในการเรียก ด้วยเหตุนี้ ผู้อื่นจึงอาจใช้โทเค็นนักพัฒนาแอปที่ถูกบุกรุกเพื่อทำการเรียกที่เชื่อมโยงกับแอปพลิเคชันของคุณได้ หากไม่ต้องการให้เกิดสถานการณ์นี้ ให้ใช้มาตรการป้องกันต่อไปนี้

  • ปฏิบัติต่อโทเค็นนักพัฒนาแอปเหมือนรหัสผ่าน อย่าแชร์โดยใช้กลไกที่ไม่ปลอดภัย เช่น การโพสต์ในฟอรัมสาธารณะหรือการส่งไฟล์กำหนดค่า ที่มีโทเค็นของนักพัฒนาแอปเป็นไฟล์แนบทางอีเมล เราขอแนะนำให้ใช้ Secret Manager เช่น Secret Manager ของ Google Cloud หรือ Secret Manager ของ AWS หากเป็นไปได้

  • หากโทเค็นนักพัฒนาแอปถูกบุกรุก คุณควรรีเซ็ตโทเค็น

    • ลงชื่อเข้าใช้บัญชีดูแลจัดการ Google Ads ที่คุณใช้เมื่อสมัคร Google Ads API
    • ไปที่เครื่องมือและการตั้งค่า > ศูนย์ API
    • คลิกลูกศรแบบเลื่อนลงข้างโทเค็นนักพัฒนาซอฟต์แวร์
    • คลิกลิงก์รีเซ็ตโทเค็น โทเค็นของนักพัฒนาแอปเก่าของคุณควรหยุด ทำงานทันที
    • อัปเดตการกำหนดค่าเวอร์ชันที่ใช้งานจริงของแอปพลิเคชันเพื่อใช้โทเค็น นักพัฒนาแอปใหม่

รักษาความปลอดภัยให้บัญชีบริการ

บัญชีบริการต้องมีการแอบอ้างเป็นผู้ใช้ทั้งโดเมนเพื่อให้ทำงานร่วมกับ Google Ads API ได้อย่างถูกต้อง นอกจากนี้ คุณควรเป็นลูกค้า Google Workspace เพื่อตั้งค่าการแอบอ้างเป็นผู้ใช้ทั้งโดเมน ด้วยเหตุนี้ เราจึงไม่แนะนำให้ใช้บัญชีบริการ เมื่อทำการเรียก Google Ads API อย่างไรก็ตาม หากตัดสินใจใช้บัญชีบริการ คุณควรรักษาความปลอดภัยของบัญชีดังกล่าวดังนี้

รักษาความปลอดภัยของโทเค็นผู้ใช้

หากแอปให้สิทธิ์ผู้ใช้หลายราย คุณควรทำตามขั้นตอนเพิ่มเติมเพื่อ ปกป้องโทเค็นการรีเฟรชและโทเค็นการเข้าถึงของผู้ใช้ จัดเก็บโทเค็นไว้อย่างปลอดภัยในขณะที่ไม่ได้ใช้งานและห้ามส่งโทเค็นเป็นข้อความธรรมดา ใช้ระบบจัดเก็บข้อมูลที่ปลอดภัย ซึ่งเหมาะสมกับแพลตฟอร์มของคุณ

จัดการการเพิกถอนและการหมดอายุของโทเค็นการรีเฟรช

หากแอปขอโทเค็นการรีเฟรช OAuth 2.0 เป็นส่วนหนึ่งของการให้สิทธิ์ คุณต้องจัดการการทำให้โทเค็นดังกล่าวไม่ถูกต้องหรือหมดอายุด้วย โทเค็นการรีเฟรชอาจใช้ไม่ได้ด้วยเหตุผลหลายประการ และแอปพลิเคชันของคุณควรตอบสนอง อย่างเหมาะสม ไม่ว่าจะด้วยการให้สิทธิ์ผู้ใช้ใหม่ในเซสชันการเข้าสู่ระบบครั้งถัดไป หรือ ล้างข้อมูลของผู้ใช้ตามความเหมาะสม งานแบบออฟไลน์ เช่น งาน Cron ควรตรวจหาและบันทึกบัญชีที่โทเค็นสำหรับรีเฟรชหมดอายุแล้ว แทนที่จะ ส่งคำขอที่ไม่สำเร็จต่อไป Google อาจจำกัดแอปพลิเคชันที่สร้างข้อผิดพลาดในระดับสูงเป็นระยะเวลานานเพื่อรักษาเสถียรภาพของเซิร์ฟเวอร์ API

จัดการความยินยอมสำหรับขอบเขตหลายรายการ

หากแอปขอการให้สิทธิ์สำหรับขอบเขต OAuth 2.0 หลายรายการ ผู้ใช้อาจไม่ให้สิทธิ์ขอบเขต OAuth ทั้งหมดที่คุณขอ แอปของคุณควรจัดการ การปฏิเสธขอบเขตโดยการปิดใช้ฟีเจอร์ที่เกี่ยวข้อง คุณจะแจ้งให้ผู้ใช้ดำเนินการอีกครั้งได้ก็ต่อเมื่อผู้ใช้ระบุความตั้งใจที่จะใช้ฟีเจอร์ที่เฉพาะเจาะจงซึ่งต้องใช้ขอบเขตอย่างชัดเจนแล้วเท่านั้น ใช้การให้สิทธิ์ทีละส่วนเพื่อขอขอบเขต OAuth ที่เหมาะสมในกรณีดังกล่าว

หากฟีเจอร์พื้นฐานของแอปต้องใช้ขอบเขตหลายรายการ ให้ชี้แจงข้อกำหนดนี้ แก่ผู้ใช้ก่อนที่จะแจ้งให้ขอความยินยอม

ก่อนหน้า
ภาพรวม
ถัดไป
ระดับการเข้าถึง