Trang này được dịch bởi Cloud Translation API.

Bảo mật thông tin đăng nhập của bạn

Hướng dẫn này cho biết cách đảm bảo thông tin đăng nhập của người dùng và ứng dụng của bạn đều an toàn.

Hoàn tất quy trình xác minh ứng dụng OAuth

Phạm vi OAuth 2.0 cho API Google Ads được phân loại là phạm vi bị hạn chế, có nghĩa là bạn nên hoàn tất quy trình xác minh ứng dụng OAuth trước khi tạo đơn đăng ký. Hãy xem Tài liệu về Google Identity và bài viết trong Trung tâm trợ giúp để tìm hiểu thêm.

Bảo mật thông tin đăng nhập của ứng dụng

Bạn nên bảo mật mã ứng dụng khách OAuth 2.0 và mật khẩu ứng dụng khách của ứng dụng. Những thông tin đăng nhập này giúp người dùng và Google xác định ứng dụng của bạn, do đó, bạn cần xử lý thông tin đó một cách cẩn thận. Bạn nên coi thông tin đăng nhập ứng dụng này như mật khẩu. Không được chia sẻ thông tin đăng nhập qua cơ chế không an toàn như đăng lên diễn đàn công khai, gửi tệp cấu hình chứa thông tin xác thực này trong tệp đính kèm email, mã hoá cứng thông tin đăng nhập hoặc gửi thông tin xác thực vào kho lưu trữ mã. Bạn nên sử dụng một người quản lý bí mật như người quản lý bí mật của Google Cloud hoặc Người quản lý bí mật của AWS khi có thể.

Nếu mật khẩu ứng dụng khách OAuth 2.0 của bạn bị lộ, bạn có thể đặt lại các mật khẩu đó. Mã thông báo của nhà phát triển cũng có thể được đặt lại.

Bảo mật mã của nhà phát triển

Mã của nhà phát triển cho phép bạn thực hiện lệnh gọi API đến một tài khoản, nhưng không có quy định hạn chế về những tài khoản có thể dùng để thực hiện lệnh gọi. Do đó, mã của nhà phát triển bị xâm phạm có thể được người khác dùng để thực hiện các lệnh gọi được phân bổ cho ứng dụng của bạn. Để tránh trường hợp này, hãy thực hiện các biện pháp phòng ngừa sau:

Hãy coi mã thông báo của nhà phát triển như mật khẩu. Đừng chia sẻ dữ liệu bằng cơ chế không an toàn như đăng lên các diễn đàn công khai hoặc gửi tệp cấu hình chứa mã của nhà phát triển dưới dạng tệp đính kèm email. Khi có thể, bạn nên sử dụng một người quản lý bí mật như Người quản lý bí mật của Google Cloud hoặc AWS Secret Manager.
Nếu mã của nhà phát triển bị xâm phạm, bạn nên đặt lại mã đó.
- Đăng nhập vào tài khoản người quản lý Google Ads mà bạn đã dùng khi đăng ký API Google Ads.
- Chuyển đến Tools & Settings > API Center (Công cụ và cài đặt > Trung tâm API).
- Nhấp vào mũi tên thả xuống bên cạnh Mã của nhà phát triển.
- Nhấp vào liên kết Đặt lại mã thông báo. Mã của nhà phát triển cũ của bạn sẽ ngừng hoạt động ngay lập tức.
- Cập nhật cấu hình phát hành chính thức của ứng dụng để sử dụng mã thông báo của nhà phát triển mới.

Bảo mật tài khoản dịch vụ

Tài khoản dịch vụ yêu cầu mạo danh trên toàn miền để hoạt động chính xác với API Google Ads. Ngoài ra, bạn phải là khách hàng Google Workspace thì mới có thể thiết lập tính năng mạo danh trên toàn miền. Vì những lý do này, bạn không nên sử dụng tài khoản dịch vụ khi thực hiện lệnh gọi API Google Ads. Tuy nhiên, nếu quyết định sử dụng tài khoản dịch vụ, bạn nên bảo mật các tài khoản này như sau:

Hãy coi khoá tài khoản dịch vụ và tệp JSON của bạn là mật khẩu. Hãy bảo mật chúng bằng một trình quản lý bí mật như người quản lý bí mật của Google Cloud hoặc AWS Secret Manager khi có thể.
Hãy làm theo các phương pháp hay nhất khác của Google Cloud để bảo mật và quản lý tài khoản dịch vụ của bạn.

Bảo mật mã thông báo người dùng

Nếu ứng dụng của bạn cấp quyền cho nhiều người dùng, bạn nên thực hiện thêm các bước để bảo vệ mã làm mới và mã truy cập của người dùng. Lưu trữ mã thông báo ở trạng thái tĩnh một cách an toàn và không bao giờ truyền mã đó ở dạng văn bản thuần tuý. Hãy dùng một hệ thống lưu trữ bảo mật, phù hợp với nền tảng của bạn.

Xử lý thời hạn thu hồi và làm mới mã thông báo

Nếu ứng dụng của bạn yêu cầu mã thông báo làm mới OAuth 2.0 trong quá trình uỷ quyền, thì bạn cũng phải xử lý trường hợp vô hiệu hoá hoặc hết hạn của các mã đó. Mã làm mới có thể không hợp lệ vì nhiều lý do và ứng dụng của bạn cần phản hồi linh hoạt bằng cách uỷ quyền lại người dùng trong phiên đăng nhập tiếp theo hoặc dọn dẹp dữ liệu của họ khi thích hợp. Các công việc ngoại tuyến (chẳng hạn như công việc cron) sẽ phát hiện và ghi lại các tài khoản có mã làm mới đã hết hạn, thay vì tiếp tục thực hiện các yêu cầu không thành công. Google có thể điều tiết các ứng dụng tạo ra mức độ lỗi cao trong một khoảng thời gian dài để duy trì tính ổn định của máy chủ API.

Quản lý sự đồng ý cho nhiều phạm vi

Nếu ứng dụng của bạn yêu cầu uỷ quyền cho nhiều phạm vi OAuth 2.0, thì người dùng có thể không cấp tất cả các phạm vi OAuth mà bạn đã yêu cầu. Ứng dụng của bạn phải xử lý trường hợp từ chối phạm vi bằng cách tắt các tính năng có liên quan. Bạn chỉ có thể nhắc lại người dùng sau khi họ đã cho biết rõ ràng ý định sử dụng tính năng cụ thể yêu cầu phạm vi. Sử dụng tính năng uỷ quyền gia tăng để yêu cầu các phạm vi OAuth phù hợp trong những trường hợp như vậy.

Nếu các tính năng cơ bản của ứng dụng cần nhiều phạm vi, hãy giải thích yêu cầu này cho người dùng trước khi nhắc người dùng đồng ý.