Ingin menyampaikan masukan tentang Google Ads API? Daftar untuk diundang berpartisipasi dalam riset pengguna.

Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan kredensial Anda
Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Panduan ini menunjukkan cara memastikan kredensial aplikasi dan pengguna Anda aman.

Menyelesaikan verifikasi Aplikasi OAuth

Cakupan OAuth 2.0 untuk Google Ads API diklasifikasikan sebagai cakupan terbatas, yang berarti Anda harus menyelesaikan proses verifikasi aplikasi OAuth sebelum membuat aplikasi dalam versi produksi. Lihat dokumentasi Identitas Google dan artikel Pusat Bantuan untuk mempelajari lebih lanjut.

Mengamankan kredensial aplikasi

Anda harus mengamankan client ID OAuth 2.0 dan rahasia klien aplikasi Anda. Kredensial ini membantu pengguna dan Google mengidentifikasi aplikasi Anda sehingga kredensial tersebut harus ditangani dengan hati-hati. Anda harus memperlakukan kredensial aplikasi ini seperti sandi. Jangan bagikan kredensial menggunakan mekanisme yang tidak aman seperti memposting di forum publik, mengirim file konfigurasi yang berisi kredensial ini dalam lampiran email, melakukan hard code pada kredensial, atau melakukan commit ke repositori kode. Sebaiknya gunakan pengelola secret seperti pengelola Secret Google Cloud atau AWS Secret Manager jika memungkinkan.

Jika rahasia klien OAuth 2.0 Anda disusupi, Anda dapat meresetnya. Token developer juga dapat direset.

Mengamankan token developer

Token developer memungkinkan Anda melakukan panggilan API ke akun, tetapi tidak ada batasan akun yang dapat digunakan untuk melakukan panggilan. Akibatnya, token developer yang disusupi dapat digunakan oleh orang lain untuk melakukan panggilan yang diatribusikan ke aplikasi Anda. Untuk menghindari skenario ini, lakukan tindakan preventif berikut:

Perlakukan token developer Anda seperti sandi. Jangan membagikannya menggunakan mekanisme yang tidak aman seperti memposting di forum publik atau mengirim file konfigurasi yang berisi token developer sebagai lampiran email. Sebaiknya gunakan secret manager seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Jika token developer Anda disusupi, Anda harus meresetnya.
- Login ke akun pengelola Google Ads yang Anda gunakan saat mengajukan permohonan Google Ads API.
- Buka Tools & Settings > API Center.
- Klik panah drop-down di samping Token developer.
- Klik link Reset token. Token developer lama Anda akan segera berhenti berfungsi.
- Update konfigurasi produksi aplikasi Anda untuk menggunakan token developer baru.

Mengamankan akun layanan

Akun layanan memerlukan peniruan identitas seluruh domain agar berfungsi dengan benar dengan Google Ads API. Selain itu, Anda harus menjadi pelanggan Google Workspace untuk menyiapkan peniruan identitas seluruh domain. Karena alasan ini, sebaiknya jangan gunakan akun layanan saat melakukan panggilan Google Ads API. Namun, jika Anda memutuskan untuk menggunakan akun layanan, Anda harus mengamankannya sebagai berikut:

Perlakukan kunci akun layanan dan file JSON Anda sebagai sandi. Amankan secret menggunakan secret manager seperti Google Cloud Secret Manager atau AWS Secret Manager jika memungkinkan.
Ikuti praktik terbaik tambahan dari Google Cloud untuk mengamankan dan mengelola akun layanan Anda.

Mengamankan token pengguna

Jika aplikasi Anda memberikan otorisasi kepada beberapa pengguna, Anda harus melakukan langkah tambahan untuk melindungi token akses dan refresh pengguna. Simpan token dengan aman dalam mode istirahat dan jangan pernah mengirimkannya dalam teks biasa. Gunakan sistem penyimpanan aman yang sesuai untuk platform Anda.

Menangani pencabutan dan habis masa berlaku token refresh

Jika aplikasi Anda meminta token refresh OAuth 2.0 sebagai bagian dari otorisasi, Anda juga harus menangani pembatalan validasi atau habis masa berlakunya. Token refresh dapat dibatalkan karena berbagai alasan, dan aplikasi Anda harus merespons dengan baik, baik dengan memberikan otorisasi ulang kepada pengguna selama sesi login berikutnya, atau menghapus data mereka sebagaimana mestinya. Tugas offline, seperti tugas cron, harus mendeteksi dan mencatat akun yang token refresh-nya telah berakhir masa berlakunya, bukan melanjutkan membuat permintaan yang gagal. Google dapat membatasi aplikasi yang menghasilkan error tingkat tinggi selama jangka waktu yang berkelanjutan untuk mempertahankan stabilitas server API.

Mengelola izin untuk beberapa cakupan

Jika aplikasi Anda meminta otorisasi untuk beberapa cakupan OAuth 2.0, pengguna mungkin tidak memberikan semua cakupan OAuth yang Anda minta. Aplikasi Anda harus menangani penolakan cakupan dengan menonaktifkan fitur yang relevan. Anda dapat meminta pengguna lagi hanya setelah mereka dengan jelas menunjukkan niat untuk menggunakan fitur tertentu yang memerlukan cakupan. Gunakan otorisasi inkremental untuk meminta cakupan OAuth yang sesuai dalam kasus tersebut.

Jika fitur dasar aplikasi Anda memerlukan beberapa cakupan, jelaskan persyaratan ini kepada pengguna sebelum meminta izin.