Aby omawiać nasze usługi i przekazywać opinie na ich temat, dołącz do oficjalnego kanału Google Ads na Discordzie na serwerze społeczności Google Advertising and Measurement.

Ta strona została przetłumaczona przez Cloud Translation API.

Zabezpieczanie danych logowania

Z tego przewodnika dowiesz się, jak zadbać o bezpieczeństwo aplikacji i danych logowania użytkowników.

Dokończ weryfikację aplikacji OAuth

Zakres OAuth 2.0 dla interfejsu Google Ads API jest klasyfikowany jako zakres ograniczony, co oznacza, że przed wprowadzeniem aplikacji do środowiska produkcyjnego musisz przejść proces weryfikacji aplikacji OAuth. Więcej informacji znajdziesz w dokumentacji Google Identity i artykule w Centrum pomocy.

Zabezpiecz dane logowania aplikacji

Zabezpiecz identyfikator klienta OAuth 2.0 i tajny klucz klienta aplikacji. Te dane uwierzytelniające pomagają użytkownikom i Google identyfikować Twoją aplikację, dlatego należy się z nimi ostrożnie obchodzić. Dane logowania do aplikacji należy traktować jak hasła. Nie udostępniaj ich za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych, wysyłanie plików konfiguracyjnych zawierających te dane uwierzytelniające w załącznikach do e-maili, zakodowanie na stałe danych uwierzytelniających lub przesyłanie ich do repozytorium kodu. W miarę możliwości zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.

Jeśli tajne klucze klienta OAuth 2.0 zostaną naruszone, możesz je zresetować. Token dewelopera można też zresetować.

Zabezpiecz token programisty

Token dewelopera umożliwia wywoływanie interfejsu API na koncie, ale nie ma ograniczeń co do tego, z którymi kontami można go używać do wywoływania interfejsu. W rezultacie przejęty token dewelopera może być używany przez inną osobę do wykonywania wywołań, które są przypisywane do Twojej aplikacji. Aby uniknąć tej sytuacji, podejmij te środki zapobiegawcze:

Traktuj token dewelopera jak hasło. Nie udostępniaj go za pomocą niezabezpieczonych mechanizmów, takich jak publikowanie na forach publicznych lub wysyłanie plików konfiguracyjnych zawierających tokeny dewelopera jako załączników do e-maili. W miarę możliwości zalecamy korzystanie z menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Jeśli Twój token dewelopera zostanie naruszony, musisz go zresetować.
- Zaloguj się na konto menedżera Google Ads, którego użyto podczas składania wniosku o dostęp do interfejsu Google Ads API.
- Otwórz Narzędzia i ustawienia > Centrum interfejsów API.
- Kliknij strzałkę menu obok opcji Token dewelopera.
- Kliknij link Reset token (Zresetuj token). Stary token programisty powinien natychmiast przestać działać.
- Zaktualizuj konfigurację produkcyjną aplikacji, aby używać nowego tokena dewelopera.

Zabezpieczanie kont usługi

Aby konta usługi działały prawidłowo z interfejsem Google Ads API, wymagają one personifikacji na poziomie całej domeny. Ponadto, aby skonfigurować personifikację na poziomie całej domeny, musisz być klientem Google Workspace. Z tych powodów nie zalecamy używania kont usług podczas wywoływania interfejsu Google Ads API. Jeśli jednak zdecydujesz się używać kont usług, zabezpiecz je w ten sposób:

Traktuj klucz konta usługi i plik JSON jak hasła. W miarę możliwości zabezpieczaj je za pomocą menedżera obiektów tajnych, takiego jak Google Cloud Secret Manager lub AWS Secret Manager.
Aby zabezpieczyć konta usługi i nimi zarządzać, postępuj zgodnie z dodatkowymi sprawdzonymi metodami Google Cloud.

Zabezpieczanie tokenów użytkownika

Jeśli Twoja aplikacja autoryzuje wielu użytkowników, musisz podjąć dodatkowe kroki, aby chronić tokeny odświeżania i dostępu użytkowników. Bezpiecznie przechowuj tokeny w stanie spoczynku i nigdy nie przesyłaj ich w postaci zwykłego tekstu. Używaj bezpiecznego systemu przechowywania odpowiedniego dla Twojej platformy.

Obsługa unieważnienia i wygasania tokena odświeżania

Jeśli Twoja aplikacja w ramach autoryzacji żąda tokena odświeżania OAuth 2.0, musisz też obsługiwać jego unieważnienie lub wygaśnięcie. Tokeny odświeżania mogą zostać unieważnione z różnych powodów, a aplikacja powinna odpowiednio reagować na takie sytuacje, np. ponownie autoryzować użytkownika podczas następnej sesji logowania lub usuwać jego dane. Zadania offline, takie jak zadania crona, powinny wykrywać i rejestrować konta, których tokeny odświeżania wygasły, zamiast kontynuować wysyłanie nieudanych żądań. Google może ograniczać przepustowość aplikacji, które przez dłuższy czas generują dużą liczbę błędów, aby utrzymać stabilność serwerów interfejsu API.

Zarządzanie zgodą na wykorzystanie danych w przypadku wielu zakresów

Jeśli Twoja aplikacja prosi o autoryzację w przypadku kilku zakresów OAuth 2.0, użytkownik może nie przyznać wszystkich żądanych zakresów. Aplikacja powinna obsługiwać odmowę przyznania zakresów przez wyłączanie odpowiednich funkcji. Ponownie możesz poprosić użytkownika o zgodę dopiero wtedy, gdy wyraźnie wskaże, że chce użyć konkretnej funkcji, która wymaga zakresu. W takich przypadkach używaj autoryzacji stopniowej, aby prosić o odpowiednie zakresy protokołu OAuth.

Jeśli podstawowe funkcje aplikacji wymagają wielu zakresów, wyjaśnij to użytkownikowi przed wyświetleniem prośby o zgodę.