Wenn Sie sich mit anderen Nutzern über unsere Produkte austauschen und Feedback geben möchten, können Sie dem offiziellen Google Ads-Discord-Kanal auf dem Server der Google Advertising and Measurement Community beitreten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Anmeldedaten schützen

In diesem Leitfaden erfahren Sie, wie Sie Ihre Anwendungs- und Nutzeranmeldedaten schützen.

OAuth-Anwendungsüberprüfung abschließen

Der OAuth 2.0-Bereich für die Google Ads API wird als eingeschränkter Bereich eingestuft. Das bedeutet, dass Sie die OAuth-Anwendungsüberprüfung durchlaufen müssen, bevor Sie Ihre Anwendung in der Produktion einsetzen. Weitere Informationen finden Sie in der Google Identity-Dokumentation und im Hilfeartikel.

Anmeldedaten für Anwendungen schützen

Sie sollten die OAuth 2.0-Client-ID und den Clientschlüssel Ihrer Anwendung schützen. Diese Anmeldedaten helfen Ihren Nutzern und Google, Ihre Anwendung zu identifizieren. Sie sollten daher sorgfältig behandelt werden. Behandeln Sie diese Anmeldedaten für die Anwendung wie Passwörter. Geben Sie sie nicht über unsichere Mechanismen weiter, z. B. durch Posten in öffentlichen Foren, Senden von Konfigurationsdateien mit diesen Anmeldedaten in E-Mail-Anhängen, Hartcodieren der Anmeldedaten oder Übertragen in ein Code-Repository. Wir empfehlen, wenn möglich, einen Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager zu verwenden.

Wenn Ihre OAuth 2.0-Clientschlüssel manipuliert wurden, können Sie sie zurücksetzen. Ein Entwicklertoken kann auch zurückgesetzt werden.

Entwicklertoken schützen

Mit dem Entwicklertoken können Sie API-Aufrufe für ein Konto ausführen. Es gibt jedoch keine Einschränkungen, mit welchen Konten es für die Aufrufe verwendet werden kann. Ein kompromittiertes Entwicklertoken kann daher von anderen verwendet werden, um Aufrufe zu tätigen, die Ihrer Anwendung zugeordnet werden. So können Sie das vermeiden:

Behandeln Sie Ihr Entwicklertoken wie ein Passwort. Geben Sie sie nicht über unsichere Mechanismen weiter, z. B. durch Posten in öffentlichen Foren oder durch Senden von Konfigurationsdateien mit den Entwicklertokens als E-Mail-Anhang. Wir empfehlen, wenn möglich, einen Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager zu verwenden.
Wenn Ihr Entwicklertoken manipuliert wurde, sollten Sie es zurücksetzen.
- Melden Sie sich in dem Google Ads-Verwaltungskonto an, das Sie bei der Beantragung der Google Ads API verwendet haben.
- Rufen Sie Tools und Einstellungen > API-Center auf.
- Klicken Sie auf den Drop-down-Pfeil neben Entwicklertoken.
- Klicken Sie auf den Link Token zurücksetzen. Ihr altes Entwicklertoken sollte sofort nicht mehr funktionieren.
- Aktualisieren Sie die Produktionskonfiguration Ihrer Anwendung, damit das neue Entwicklertoken verwendet wird.

Dienstkonten schützen

Dienstkonten erfordern die domainweite Identitätsübernahme, damit sie mit der Google Ads API funktionieren. Außerdem müssen Sie Google Workspace-Kunde sein, um die domainweite Identitätsübernahme einzurichten. Aus diesen Gründen raten wir davon ab, Dienstkonten für Google Ads API-Aufrufe zu verwenden. Wenn Sie sich jedoch für die Verwendung von Dienstkonten entscheiden, sollten Sie sie so schützen:

Behandeln Sie Ihren Dienstkontoschlüssel und die JSON-Datei wie Passwörter. Sichern Sie sie nach Möglichkeit mit einem Secret Manager wie Google Cloud Secret Manager oder AWS Secret Manager.
Befolgen Sie die zusätzlichen Best Practices von Google Cloud, um Ihre Dienstkonten zu schützen und zu verwalten.

Nutzertokens schützen

Wenn Ihre App mehrere Nutzer autorisiert, sollten Sie zusätzliche Maßnahmen ergreifen, um die Aktualisierungs- und Zugriffstokens der Nutzer zu schützen. Speichern Sie die Tokens sicher im Ruhezustand und übertragen Sie sie niemals als Klartext. Verwenden Sie ein sicheres Speichersystem, das für Ihre Plattform geeignet ist.

Widerruf und Ablauf von Aktualisierungstokens verarbeiten

Wenn Ihre App im Rahmen der Autorisierung OAuth 2.0-Aktualisierungstokens anfordert, müssen Sie auch deren Ungültigkeit oder Ablauf berücksichtigen. Aktualisierungstokens können aus verschiedenen Gründen ungültig werden. Ihre Anwendung sollte darauf reagieren, indem sie den Nutzer bei der nächsten Anmeldesitzung noch einmal autorisiert oder seine Daten entsprechend bereinigt. Bei Offlinejobs wie Cron-Jobs sollten Konten, deren Aktualisierungstokens abgelaufen sind, erkannt und aufgezeichnet werden, anstatt weiterhin fehlgeschlagene Anfragen zu senden. Google drosselt möglicherweise Anwendungen, die über einen längeren Zeitraum hinweg eine hohe Anzahl von Fehlern generieren, um die Stabilität der API-Server zu gewährleisten.

Einwilligung für mehrere Bereiche verwalten

Wenn Ihre App die Autorisierung für mehrere OAuth 2.0-Bereiche anfordert, gewährt der Nutzer möglicherweise nicht alle von Ihnen angeforderten OAuth-Bereiche. Ihre App sollte die Verweigerung von Bereichen verarbeiten, indem sie die entsprechenden Funktionen deaktiviert. Sie können den Nutzer erst dann noch einmal auffordern, wenn er eindeutig angegeben hat, dass er die Funktion verwenden möchte, für die der Bereich erforderlich ist. Verwenden Sie in solchen Fällen die inkrementelle Autorisierung, um die entsprechenden OAuth-Bereiche anzufordern.

Wenn für die grundlegenden Funktionen Ihrer App mehrere Bereiche erforderlich sind, müssen Sie dem Nutzer diese Anforderung erläutern, bevor Sie ihn um die Einwilligung bitten.