Per discutere e fornire feedback sui nostri prodotti, unisciti al canale Discord ufficiale di Google Ads nel server della community di Google Advertising and Measurement.

Questa pagina è stata tradotta dall'API Cloud Translation.

Proteggi le tue credenziali

Questa guida mostra come assicurarsi che l'applicazione e le credenziali utente siano sicure.

Completa la verifica dell'app OAuth

L'ambito OAuth 2.0 per l'API Google Ads è classificato come ambito con limitazioni, il che significa che devi completare la procedura di verifica dell'applicazione OAuth prima di metterla in produzione. Per saperne di più, consulta la documentazione di Google Identity e l'articolo del Centro assistenza.

Proteggere le credenziali dell'applicazione

Devi proteggere l'ID client e il client secret OAuth 2.0 della tua applicazione. Queste credenziali aiutano gli utenti e Google a identificare la tua applicazione e pertanto devono essere gestite con attenzione. Devi trattare queste credenziali dell'applicazione come password. Non condividerle utilizzando meccanismi non sicuri, ad esempio pubblicandole su forum pubblici, inviando file di configurazione contenenti queste credenziali negli allegati email, codificando le credenziali o eseguendo il commit in un repository di codice. Se possibile, ti consigliamo di utilizzare un gestore dei secret come Google Cloud Secret Manager o AWS Secret Manager.

Se i client secret OAuth 2.0 vengono compromessi, puoi reimpostarli. Un token sviluppatore può anche essere reimpostato.

Proteggere il token sviluppatore

Il token sviluppatore ti consente di effettuare chiamate API a un account, ma non ha restrizioni sugli account con cui può essere utilizzato per effettuare le chiamate. Di conseguenza, un token sviluppatore compromesso può essere utilizzato da un'altra persona per effettuare chiamate attribuite alla tua applicazione. Per evitare questo scenario, adotta queste misure preventive:

Tratta il tuo token sviluppatore come una password. Non condividerlo utilizzando meccanismi non sicuri, ad esempio pubblicandolo su forum pubblici o inviando file di configurazione contenenti i token sviluppatore come allegato email. Se possibile, ti consigliamo di utilizzare un gestore dei secret come Google Cloud Secret Manager o AWS Secret Manager.
Se il token sviluppatore è compromesso, devi reimpostarlo.
- Accedi all'account amministratore Google Ads che hai utilizzato per richiedere l'API Google Ads.
- Vai a Strumenti e impostazioni > Centro API.
- Fai clic sulla freccia del menu a discesa accanto a Token sviluppatore.
- Fai clic sul link Reimposta token. Il tuo vecchio token sviluppatore dovrebbe smettere di funzionare immediatamente.
- Aggiorna la configurazione di produzione dell'applicazione in modo da utilizzare il nuovo token sviluppatore.

Proteggere i service account

Per funzionare correttamente con l'API Google Ads, i service account richiedono la rappresentazione a livello di dominio. Inoltre, devi essere un cliente Google Workspace per configurare la rappresentazione a livello di dominio. Per questi motivi, sconsigliamo l'utilizzo di service account per effettuare chiamate API Google Ads. Tuttavia, se decidi di utilizzare gli account di servizio, devi proteggerli nel seguente modo:

Considera la chiave e il file JSON dell'account di servizio come password. Proteggili utilizzando un secret manager come Google Cloud Secret Manager o AWS Secret Manager, se possibile.
Segui le best practice aggiuntive di Google Cloud per proteggere e gestire i tuoi service account.

Proteggere i token utente

Se la tua app autorizza più utenti, devi adottare ulteriori misure per proteggere i token di aggiornamento e di accesso degli utenti. Archivia i token in modo sicuro a riposo e non trasmetterli mai in testo normale. Utilizza un sistema di archiviazione sicuro adatto alla tua piattaforma.

Gestire la revoca e la scadenza del token di aggiornamento

Se la tua app richiede il token di aggiornamento OAuth 2.0 nell'ambito dell'autorizzazione, devi anche gestirne l'invalidazione o la scadenza. I token di aggiornamento potrebbero essere invalidati per vari motivi e la tua applicazione deve rispondere in modo appropriato riautorizzando l'utente durante la sessione di accesso successiva o ripulendo i suoi dati in modo appropriato. I job offline, come i job cron, devono rilevare e registrare gli account i cui token di aggiornamento sono scaduti, anziché continuare a effettuare richieste non riuscite. Google potrebbe limitare le applicazioni che generano un numero elevato di errori per un periodo di tempo prolungato per mantenere la stabilità dei server API.

Gestire il consenso per più ambiti

Se la tua app richiede l'autorizzazione per più ambiti OAuth 2.0, l'utente potrebbe non concedere tutti gli ambiti OAuth che hai richiesto. La tua app deve gestire il rifiuto degli ambiti disattivando le funzionalità pertinenti. Puoi chiedere di nuovo all'utente solo dopo che ha indicato chiaramente l'intenzione di utilizzare la funzionalità specifica che richiede l'ambito. Utilizza l'autorizzazione incrementale per richiedere gli ambiti OAuth appropriati in questi casi.

Se le funzionalità di base della tua app richiedono più ambiti, spiega questo requisito all'utente prima di richiedere il consenso.