本指南說明如何確保應用程式和使用者憑證安全無虞。
完成 OAuth 應用程式驗證
Google Ads API 的 OAuth 2.0 範圍被歸類為「受限制範圍」,因此請先完成 OAuth 應用程式驗證程序,再實際推出應用程式。詳情請參閱 Google Identity 說明文件和說明中心文章。
保護應用程式憑證
建議您妥善保存應用程式的 OAuth 2.0 用戶端 ID 和用戶端密鑰。 這些憑證有助於使用者和 Google 識別您的應用程式,因此請謹慎處理。您應該將這些應用程式憑證視為密碼處理。切勿使用不安全的機制共用這些檔案,例如在公開論壇上張貼內容、在電子郵件附件中傳送含有這些憑證的設定檔、將憑證硬式編碼,或提交至程式碼存放區。建議您盡可能使用 Secret Manager,例如 Google Cloud Secret Manager 或 AWS Secret Manager。
如果您的 OAuth 2.0 用戶端密鑰遭駭,您可以重設密鑰。開發人員權杖也可以重設。
保護開發人員權杖
開發人員權杖可讓您對帳戶進行 API 呼叫,但無法對哪些帳戶發出呼叫。因此,其他人可能會使用遭入侵的開發人員權杖,呼叫歸因於您的應用程式。如要避免這種情況,請採取下列預防措施:
將開發人員權杖視為密碼。請勿使用不安全的機制共用這個檔案,例如在公開論壇上張貼文章,或是以電子郵件附件的形式傳送包含開發人員權杖的設定檔。建議您盡可能使用 Secret Manager,例如 Google Cloud Secret Manager 或 AWS Secret Manager。
如果您的開發人員權杖遭駭,請重設該權杖。
- 登入您在申請 Google Ads API 時使用的 Google Ads 管理員帳戶。
- 依序前往「Tools & Settings」>「API Center」。
- 按一下「開發人員權杖」旁的下拉式箭頭。
- 按一下「重設權杖」連結。舊的開發人員權杖應該會立即停止運作。
- 更新應用程式的實際工作環境設定,使用新的開發人員權杖。
保護服務帳戶
服務帳戶必須執行全網域模擬才能正確搭配 Google Ads API 使用,此外,您必須是 Google Workspace 客戶,才能設定全網域模擬。因此,建議不要在呼叫 Google Ads API 時使用服務帳戶。但如果您決定使用服務帳戶,請依下列方式保護服務帳戶:
將服務帳戶金鑰和 JSON 檔案視為密碼。請盡可能使用 Google Cloud Secret Manager 或 AWS Secret Manager 等 Secret Manager 來保護金鑰。
請按照 Google Cloud 的其他最佳做法,保護及管理您的服務帳戶。
保護使用者權杖
如果您的應用程式授權多位使用者,您必須採取額外步驟來保護使用者的更新和存取權杖。將權杖安全地儲存在「靜態」,切勿以純文字格式傳送。使用適用於您平台的安全儲存系統。
處理更新權杖撤銷和到期時間
如果應用程式要求 OAuth 2.0 更新權杖做為授權的一部分,也必須處理其失效或到期作業。更新權杖可能會基於各種原因而失效,應用程式應在下次登入工作階段重新授權使用者,或視情況清除資料,以妥善回應。Cron 工作等離線工作應偵測並記錄更新權杖已過期的帳戶,而非繼續發出失敗的要求。Google 可能會針對長期產生的高錯誤進行調節,以維持 API 伺服器的穩定性。
管理多個範圍的同意聲明
如果應用程式要求多個 OAuth 2.0 範圍的授權,使用者可能不會授予您要求的所有 OAuth 範圍。應用程式應停用相關功能,以處理拒絕範圍的問題。只有在使用者明確指出意圖使用需要該範圍的特定功能時,您才能再次提示使用者。在這種情況下,請使用漸進式授權來要求適當的 OAuth 範圍。
如果應用程式的基本功能需要多個範圍,請在顯示同意聲明提示前向使用者說明這項規定。