Dołącz do nas na żywo na Discordzie 25 czerwca o 16:00 czasu polskiego na serwerze społeczności Google Advertising and Measurement oraz na YouTube. Omówimy nowe funkcje dodane w wersji 24.2 interfejsu Google Ads API.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Zabezpieczanie danych logowania

Ten przewodnik pokazuje, jak zadbać o bezpieczeństwo aplikacji i danych logowania użytkowników.

Dokończ weryfikację aplikacji OAuth

Zakres OAuth 2.0 dla interfejsu Google Ads API jest klasyfikowany jako zakres z ograniczeniami, co oznacza, że przed udostępnieniem aplikacji w wersji produkcyjnej musisz przejść proces weryfikacji aplikacji OAuth. Więcej informacji znajdziesz w dokumentacji Google Identity, artykule w Centrum pomocy na temat niezweryfikowanych aplikacji oraz w dokumentacji dotyczącej konfigurowania ekranu akceptacji OAuth.

Zabezpieczanie danych logowania do aplikacji

Zabezpiecz identyfikator klienta OAuth 2.0 i klucz klienta aplikacji. Te dane logowania pomagają użytkownikom i Google zidentyfikować Twoją aplikację, dlatego należy się z nimi obchodzić ostrożnie. Dane logowania do aplikacji traktuj jak hasła. Nie udostępniaj ich za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych, wysyłanie plików konfiguracyjnych zawierających te dane logowania w załącznikach do e-maili, kodowanie na stałe danych logowania lub przesyłanie ich do repozytorium kodu. Jeśli to możliwe, zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret manager lub AWS Secret Manager.

Jeśli klucze klienta OAuth 2.0 zostaną naruszone, możesz je zresetować. Możesz też zresetować token programisty.

Zabezpieczanie tokena programisty

Token programisty umożliwia wywoływanie interfejsu API na koncie, ale nie ma ograniczeń co do tego, z jakich kont można go używać do wykonywania wywołań. W rezultacie naruszony token programisty może zostać użyty przez inną osobę do wykonywania wywołań, które są przypisywane do Twojej aplikacji. Aby uniknąć tej sytuacji, podejmij te środki zapobiegawcze:

Traktuj token programisty jak hasło. Nie udostępniaj go za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych lub wysyłanie plików konfiguracyjnych zawierających tokeny programisty w załączniku do e-maila. Jeśli to możliwe, zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Secret Manager w Google Cloud lub AWS Secret Manager.
Jeśli token programisty zostanie naruszony, zresetuj go.
- Zaloguj się na konto menedżera Google Ads, którego używasz podczas zgłaszania się do interfejsu Google Ads API.
- Otwórz Narzędzia i ustawienia > Centrum API.
- Kliknij strzałkę obok pozycji Token programisty.
- Kliknij link Zresetuj token. Stary token programisty powinien natychmiast przestać działać.
- Zaktualizuj konfigurację produkcyjną aplikacji, aby używać nowego tokena programisty.

Zabezpieczanie kont usługi

Aby konta usługi działały prawidłowo z interfejsem Google Ads API, wymagają personifikacji w całej domenie. Ponadto musisz być klientem Google Workspace, aby skonfigurować personifikację w całej domenie. Z tych powodów nie zalecamy używania kont usługi podczas wywoływania interfejsu Google Ads API. Jeśli jednak zdecydujesz się używać kont usługi, zabezpiecz je w ten sposób:

Traktuj klucz konta usługi i plik JSON jak hasła. Jeśli to możliwe, zabezpiecz je za pomocą menedżera obiektów tajnych, takiego jak Secret Manager w Google Cloud lub AWS Secret Manager.
Aby zabezpieczyć konta usługi i nimi zarządzać, postępuj zgodnie z dodatkowymi sprawdzonymi metodami Google Cloud.

Zabezpieczanie tokenów użytkowników

Jeśli Twoja aplikacja autoryzuje wielu użytkowników, musisz podjąć dodatkowe kroki, aby chronić tokeny odświeżania i tokeny dostępu użytkowników. Przechowuj tokeny w bezpieczny sposób at rest i nigdy nie przesyłaj ich w postaci zwykłego tekstu. Używaj bezpiecznego systemu przechowywania odpowiedniego dla Twojej platformy.

Obsługa unieważniania i wygasania tokenów odświeżania

Jeśli Twoja aplikacja prosi o token odświeżania OAuth 2.0 w ramach autoryzacji, musisz też obsługiwać jego unieważnienie lub wygaśnięcie. Tokeny odświeżania mogą zostać unieważnione z różnych powodów, a Twoja aplikacja powinna odpowiednio reagować np. przez ponowne autoryzowanie użytkownika podczas następnej sesji logowania lub wyczyszczenie jego danych. Zadania offline, takie jak zadania cron, powinny wykrywać i rejestrować konta, których tokeny odświeżania wygasły, zamiast kontynuować wysyłanie nieudanych żądań. Aby utrzymać stabilność serwerów API, Google może ograniczyć liczbę żądań wysyłanych przez aplikacje, które przez dłuższy czas generują dużą liczbę błędów.

Zarządzanie zgodą na wykorzystanie danych w przypadku wielu zakresów

Jeśli Twoja aplikacja prosi o autoryzację w przypadku wielu zakresów OAuth 2.0, użytkownik może nie przyznać wszystkich żądanych zakresów OAuth. Twoja aplikacja powinna obsługiwać odmowę zakresów przez wyłączenie odpowiednich funkcji. Możesz ponownie poprosić użytkownika o zgodę dopiero wtedy, gdy wyraźnie wskaże on, że chce używać konkretnej funkcji, która wymaga zakresu. W takich przypadkach użyj autoryzacji przyrostowej, aby poprosić o odpowiednie zakresy OAuth.

Jeśli podstawowe funkcje aplikacji wymagają wielu zakresów, wyjaśnij to użytkownikowi, zanim poprosisz go o zgodę.