Prácticas recomendadas de privacidad y seguridad
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Estos son algunos lineamientos de seguridad y privacidad para los desarrolladores que usan la API de Asistente de Google en sus proyectos.
Autorización de la API y la aplicación
Cualquier aplicación que use la API del Asistente de Google debe tener credenciales de autorización que la identifiquen para el servidor de autenticación de Google.
Por lo general, estas credenciales se almacenan en un archivo client_secret_<client-id>.json descargado. Asegúrate de almacenar este archivo en una ubicación a la que solo pueda acceder tu aplicación.
Tu aplicación puede solicitar al usuario que le otorgue acceso a su Cuenta de Google.
Si se otorga, tu aplicación puede solicitar un token de acceso para ese usuario. Estos tokens vencen, pero se pueden actualizar.
Los tokens de actualización desprotegidos en un dispositivo representan un riesgo de seguridad significativo. Asegúrate de que tu aplicación cumpla con lo siguiente:
- Almacena los tokens de actualización en un lugar seguro.
- Proporciona una manera fácil de borrar tokens del dispositivo. Por ejemplo, proporciona un botón "Salir" que borre un token (si la aplicación tiene una IU) o una secuencia de comandos de línea de comandos que el usuario pueda ejecutar.
- Informa a los usuarios que pueden desautorizar el acceso a su Cuenta de Google. Esto revoca el token de actualización. Para volver a usar la aplicación, el usuario deberá volver a autorizar el acceso.
Cuando termines de usar el dispositivo de forma permanente, debes borrar todos los tokens que contiene.
Si deseas obtener más información, consulta Usa OAuth 2.0 para acceder a las APIs de Google.
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-07-26 (UTC)
[null,null,["Última actualización: 2025-07-26 (UTC)"],[[["\u003cp\u003eApplications using the Google Assistant API require authorization credentials, typically stored in a \u003ccode\u003eclient_secret_<client-id>.json\u003c/code\u003e file, which should be kept secure.\u003c/p\u003e\n"],["\u003cp\u003eUser granted access allows applications to request access tokens that expire but can be refreshed; however, unprotected refresh tokens pose a security risk and should be stored securely with options for users to clear them.\u003c/p\u003e\n"],["\u003cp\u003eDevelopers should inform users about the ability to deauthorize access to their Google account through Google's permissions page, which revokes the refresh token and requires re-authorization for further application use.\u003c/p\u003e\n"]]],["Applications using the Google Assistant API require authorization credentials, typically stored in a `client_secret` file, which should be securely stored. Applications may obtain user-specific access tokens, which can be refreshed. Refresh tokens must be securely stored, and applications should allow users to clear them, such as through a \"Sign out\" feature or a command line. Users should be informed that they can deauthorize application access, and all tokens should be cleared when a device is no longer used.\n"],null,["# Best Practices for Privacy and Security\n\nHere are some security and privacy guidelines for developers using the Google\nAssistant API in their projects.\n\nAPI and application authorization\n---------------------------------\n\nAny application that uses the Google Assistant API must have authorization\ncredentials that identify the application to Google's authentication server.\nTypically, these credentials are stored in a downloaded `client_secret_\u003cclient-id\u003e.json`\nfile. Make sure to store this file in a location that only your application\ncan access.\n\nYour application may prompt the user to grant it access to their Google account.\nIf granted, your application can request an access token for that user. These\ntokens expire, but can be refreshed.\n\nUnprotected refresh tokens on a device pose a significant security risk. Make\nsure your application:\n\n- Stores the refresh tokens in a secure place.\n- Provides an easy way to clear tokens from the device. For example, provide a \"Sign out\" button that clears a token (if the application has a UI) or a command line script that the user can execute.\n- Informs users that they can [deauthorize access](https://myaccount.google.com/permissions) to their Google account. This revokes the refresh token; to use the application again, the user would need to re-authorize access.\n\nWhen you are done using the device permanently, you should clear all of the\ntokens from it.\n\nFor more information, see [Using OAuth 2.0 to Access Google APIs](https://developers.google.com/identity/protocols/OAuth2)."]]
