Ürünlerimiz hakkında görüşmek ve geri bildirimde bulunmak için Google Advertising and Measurement Community sunucusundaki resmi Google Ads Discord kanalına katılın.

Bu sayfa, Cloud Translation API ile çevrilmiştir.

Kimlik bilgilerinizin güvenliğini sağlayın

Bu rehberde, uygulamanızın ve kullanıcı kimlik bilgilerinizin güvenliğini nasıl sağlayacağınız açıklanmaktadır.

OAuth uygulamasının doğrulanmasını tamamlama

Google Ads API'sinin OAuth 2.0 kapsamı kısıtlanmış kapsam olarak sınıflandırılır. Bu nedenle, uygulamanızı üretime almadan önce OAuth uygulama doğrulama sürecini tamamlamanız gerekir. Daha fazla bilgi edinmek için Google Identity belgeleri ve Yardım Merkezi makalesine bakın.

Uygulama kimlik bilgilerinin güvenliğini sağlama

Uygulamanızın OAuth 2.0 istemci kimliğini ve istemci gizli anahtarını güvenli hale getirmeniz gerekir. Bu kimlik bilgileri, kullanıcılarınızın ve Google'ın uygulamanızı tanımlamasına yardımcı olur. Bu nedenle, dikkatli bir şekilde ele alınmalıdır. Bu uygulama kimlik bilgilerini şifre gibi değerlendirmeniz gerekir. Herkese açık forumlarda yayınlama, bu kimlik bilgilerini içeren yapılandırma dosyalarını e-posta eklerinde gönderme, kimlik bilgilerini sabit kodlama veya bir kod deposuna gönderme gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir Secret Manager kullanmanızı öneririz.

OAuth 2.0 istemci gizli anahtarlarınızın güvenliği ihlal edilirse sıfırlayabilirsiniz. Geliştirici jetonu da sıfırlanabilir.

Geliştirici jetonunu güvenli hale getirme

Geliştirici jetonu, bir hesaba API çağrıları yapmanıza olanak tanır ancak çağrı yapmak için hangi hesaplarla kullanılabileceği konusunda herhangi bir kısıtlama yoktur. Bu nedenle, güvenliği ihlal edilmiş bir geliştirici jetonu, uygulamanıza atfedilen aramalar yapmak için başka biri tarafından kullanılabilir. Bu durumu önlemek için aşağıdaki önleyici tedbirleri alın:

Geliştirici jetonunuzu şifre gibi kullanın. Herkese açık forumlarda yayınlama veya geliştirici jetonlarını içeren yapılandırma dosyalarını e-posta eki olarak gönderme gibi güvenli olmayan mekanizmalar kullanarak paylaşmayın. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir Secret Manager kullanmanızı öneririz.
Geliştirici jetonunuzun güvenliği ihlal edildiyse jetonunuzu sıfırlamanız gerekir.
- Google Ads API'ye başvururken kullandığınız Google Ads yönetici hesabında oturum açın.
- Araçlar ve Ayarlar > API Merkezi'ne gidin.
- Geliştirici jetonu'nun yanındaki açılır oku tıklayın.
- Jetonu sıfırla bağlantısını tıklayın. Eski geliştirici jetonunuzun çalışması hemen durdurulmalıdır.
- Yeni geliştirici jetonunu kullanmak için uygulamanızın üretim yapılandırmasını güncelleyin.

Hizmet hesaplarının güvenliğini sağlama

Hizmet hesaplarının Google Ads API ile doğru şekilde çalışması için alan genelinde kimliğe bürünme gerekir. Ayrıca, alan genelinde kimliğe bürünmeyi ayarlamak için Google Workspace müşterisi olmanız gerekir. Bu nedenlerle, Google Ads API çağrıları yaparken hizmet hesaplarını kullanmamanızı öneririz. Ancak hizmet hesaplarını kullanmaya karar verirseniz bunları aşağıdaki şekilde güvenli hale getirmeniz gerekir:

Hizmet hesabı anahtarınızı ve JSON dosyanızı şifre gibi değerlendirin. Mümkün olduğunda Google Cloud Secret Manager veya AWS Secret Manager gibi bir Secret Manager kullanarak bunları güvenli hale getirin.
Hizmet hesaplarınızın güvenliğini sağlamak ve bunları yönetmek için Google Cloud'un ek en iyi uygulamalarını uygulayın.

Kullanıcı jetonlarını güvenli hale getirme

Uygulamanız birden fazla kullanıcıyı yetkilendiriyorsa kullanıcıların yenileme ve erişim jetonlarını korumak için ek adımlar atmanız gerekir. Jetonları dinlenirken güvenli bir şekilde saklayın ve hiçbir zaman düz metin olarak iletmeyin. Platformunuza uygun güvenli bir depolama sistemi kullanın.

Yenileme jetonu iptalini ve geçerlilik bitişini işleme

Uygulamanız yetkilendirme kapsamında OAuth 2.0 yenileme jetonu istiyorsa bunların geçersiz kılınmasını veya süresinin dolmasını da yönetmeniz gerekir. Yenileme jetonları çeşitli nedenlerle geçersiz kılınabilir ve uygulamanız, kullanıcının bir sonraki giriş oturumu sırasında yeniden yetkilendirilerek veya verileri uygun şekilde temizlenerek bu duruma sorunsuz bir şekilde yanıt vermelidir. Cron işleri gibi çevrimdışı işler, başarısız isteklerde bulunmaya devam etmek yerine yenileme jetonlarının süresi dolan hesapları algılayıp kaydetmelidir. Google, API sunucularının kararlılığını korumak için uzun bir süre boyunca yüksek düzeyde hata oluşturan uygulamaların sıklığını azaltabilir.

Birden fazla kapsam için izni yönetme

Uygulamanız birden fazla OAuth 2.0 kapsamı için yetkilendirme isteğinde bulunursa kullanıcı, istediğiniz tüm OAuth kapsamlarını vermeyebilir. Uygulamanız, ilgili özellikleri devre dışı bırakarak kapsamların reddedilmesini işlemelidir. Kullanıcıya yalnızca kapsam gerektiren belirli bir özelliği kullanma niyetini açıkça belirttikten sonra tekrar istem gönderebilirsiniz. Bu gibi durumlarda uygun OAuth kapsamlarını istemek için artımlı yetkilendirme kullanın.

Uygulamanızın temel özellikleri birden fazla kapsam gerektiriyorsa izin istemeden önce bu gerekliliği kullanıcıya açıklayın.

Genel bakış

Erişim düzeyleri