Estos son algunos lineamientos de seguridad y privacidad para los desarrolladores que usan la API de Asistente de Google en sus proyectos.
Autorización de la API y la aplicación
Cualquier aplicación que use la API del Asistente de Google debe tener credenciales de autorización que la identifiquen para el servidor de autenticación de Google.
Por lo general, estas credenciales se almacenan en un archivo client_secret_<client-id>.json
descargado. Asegúrate de almacenar este archivo en una ubicación a la que solo pueda acceder tu aplicación.
Tu aplicación puede solicitar al usuario que le otorgue acceso a su Cuenta de Google. Si se otorga, tu aplicación puede solicitar un token de acceso para ese usuario. Estos tokens vencen, pero se pueden actualizar.
Los tokens de actualización desprotegidos en un dispositivo representan un riesgo de seguridad significativo. Asegúrate de que tu aplicación cumpla con lo siguiente:
- Almacena los tokens de actualización en un lugar seguro.
- Proporciona una manera fácil de borrar tokens del dispositivo. Por ejemplo, proporciona un botón "Salir" que borre un token (si la aplicación tiene una IU) o una secuencia de comandos de línea de comandos que el usuario pueda ejecutar.
- Informa a los usuarios que pueden desautorizar el acceso a su Cuenta de Google. Esto revoca el token de actualización. Para volver a usar la aplicación, el usuario deberá volver a autorizar el acceso.
Cuando termines de usar el dispositivo de forma permanente, debes borrar todos los tokens que contiene.
Si deseas obtener más información, consulta Usa OAuth 2.0 para acceder a las APIs de Google.