Bergabunglah bersama kami secara live di Discord di server Komunitas Periklanan dan Pengukuran Google dan di YouTube pada 25 Juni pukul 21.00 WIB. Kami akan membahas fitur baru yang ditambahkan di Google Ads API v24.2.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengamankan kredensial Anda

Panduan ini menunjukkan cara memastikan kredensial pengguna dan aplikasi Anda aman.

Menyelesaikan verifikasi Aplikasi OAuth

Cakupan OAuth 2.0 untuk Google Ads API diklasifikasikan sebagai cakupan terbatas, yang berarti Anda harus menyelesaikan proses verifikasi aplikasi OAuth sebelum memproduksi aplikasi Anda. Lihat dokumentasi Google Identity, artikel Pusat Bantuan tentang aplikasi yang belum diverifikasi, dan dokumen tentang menyiapkan layar izin OAuth untuk mempelajari lebih lanjut.

Mengamankan kredensial aplikasi

Anda harus mengamankan client ID OAuth 2.0 dan rahasia klien aplikasi Anda. Kredensial ini membantu pengguna dan Google mengidentifikasi aplikasi Anda sehingga kredensial tersebut harus ditangani dengan hati-hati. Anda harus memperlakukan kredensial aplikasi ini seperti sandi. Jangan bagikan kredensial tersebut menggunakan mekanisme yang tidak aman seperti memposting di forum publik, mengirim file konfigurasi yang berisi kredensial ini dalam lampiran email, hardcode kredensial, atau melakukan commit ke repositori kode. Sebaiknya gunakan pengelola secret seperti Google Cloud Secret manager atau AWS Secret Manager jika memungkinkan.

Jika rahasia klien OAuth 2.0 Anda disusupi, Anda dapat meresetnya. Token developer juga dapat direset.

Mengamankan token developer

Token developer memungkinkan Anda melakukan panggilan API ke akun, tetapi tidak memiliki batasan akun yang dapat digunakan untuk melakukan panggilan. Akibatnya, token developer yang disusupi dapat digunakan oleh orang lain untuk melakukan panggilan yang dikaitkan dengan aplikasi Anda. Untuk menghindari skenario ini, lakukan tindakan pencegahan berikut:

Perlakukan token developer Anda seperti sandi. Jangan bagikan token tersebut menggunakan mekanisme yang tidak aman seperti memposting di forum publik atau mengirim file konfigurasi yang berisi token developer sebagai lampiran email. Sebaiknya gunakan pengelola secret seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Jika token developer Anda disusupi, Anda harus meresetnya.
- Login ke akun pengelola Google Ads yang Anda gunakan saat mengajukan permohonan Google Ads API.
- Buka Alat & Setelan > Pusat API.
- Klik panah drop-down di samping Token developer.
- Klik link Reset token. Token developer lama Anda akan segera berhenti berfungsi.
- Perbarui konfigurasi produksi aplikasi Anda untuk menggunakan token developer baru.

Mengamankan akun layanan

Akun layanan memerlukan peniruan identitas seluruh domain agar berfungsi dengan benar dengan Google Ads API. Selain itu, Anda harus menjadi pelanggan Google Workspace untuk menyiapkan peniruan identitas seluruh domain. Karena alasan ini, sebaiknya jangan gunakan akun layanan saat melakukan panggilan Google Ads API. Namun, jika Anda memutuskan untuk menggunakan akun layanan, Anda harus mengamankannya sebagai berikut:

Perlakukan kunci akun layanan dan file JSON Anda sebagai sandi. Amankan kunci dan file tersebut menggunakan pengelola secret seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Ikuti praktik terbaik tambahan dari Google Cloud untuk mengamankan dan mengelola akun layanan Anda.

Mengamankan token pengguna

Jika aplikasi Anda mengotorisasi beberapa pengguna, Anda harus mengambil langkah tambahan untuk melindungi token refresh dan akses pengguna. Simpan token dengan aman saat tidak digunakan dan jangan pernah mengirimkannya dalam teks biasa. Gunakan sistem penyimpanan aman yang sesuai untuk platform Anda.

Menangani pencabutan dan masa berlaku token refresh

Jika aplikasi Anda meminta token refresh OAuth 2.0 sebagai bagian dari otorisasi, Anda juga harus menangani pembatalan atau masa berlakunya. Token refresh dapat dibatalkan karena berbagai alasan, dan aplikasi Anda harus merespons dengan baik, baik dengan mengotorisasi ulang pengguna selama sesi login berikutnya, atau membersihkan data mereka sebagaimana mestinya. Tugas offline, seperti tugas cron, harus mendeteksi dan mencatat akun yang token refresh-nya telah habis masa berlakunya, bukan terus membuat permintaan yang gagal. Google dapat membatasi aplikasi yang menghasilkan tingkat error tinggi dalam jangka waktu yang berkelanjutan untuk menjaga stabilitas server API.

Mengelola izin untuk beberapa cakupan

Jika aplikasi Anda meminta otorisasi untuk beberapa cakupan OAuth 2.0, pengguna mungkin tidak memberikan semua cakupan OAuth yang Anda minta. Aplikasi Anda harus menangani penolakan cakupan dengan menonaktifkan fitur yang relevan. Anda dapat meminta pengguna lagi hanya setelah mereka dengan jelas menunjukkan niat untuk menggunakan fitur tertentu yang memerlukan cakupan tersebut. Gunakan otorisasi inkremental untuk meminta cakupan OAuth yang sesuai dalam kasus tersebut.

Jika fitur dasar aplikasi Anda memerlukan beberapa cakupan, jelaskan persyaratan ini kepada pengguna sebelum meminta izin.