Bạn muốn chia sẻ ý kiến phản hồi về API Google Ads? Đăng ký để được mời tham gia nghiên cứu người dùng!

Trang này được dịch bởi Cloud Translation API.

Bảo mật thông tin đăng nhập của bạn
Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Hướng dẫn này cho biết cách đảm bảo ứng dụng và thông tin đăng nhập của người dùng được bảo mật.

Hoàn tất quy trình xác minh Ứng dụng OAuth

Phạm vi OAuth 2.0 cho API Google Ads được phân loại là phạm vi bị hạn chế, nghĩa là bạn phải hoàn tất quy trình xác minh ứng dụng OAuth trước khi đưa ứng dụng vào hoạt động chính thức. Hãy xem tài liệu về Google Identity và bài viết trong Trung tâm trợ giúp để tìm hiểu thêm.

Bảo mật thông tin đăng nhập của ứng dụng

Bạn nên bảo mật mã ứng dụng khách OAuth 2.0 và khoá bí mật của ứng dụng. Những thông tin xác thực này giúp người dùng và Google xác định ứng dụng của bạn, vì vậy, bạn nên xử lý thông tin xác thực một cách cẩn thận. Bạn nên coi các thông tin xác thực ứng dụng này như mật khẩu. Đừng chia sẻ thông tin xác thực bằng các cơ chế không an toàn như đăng trên diễn đàn công khai, gửi tệp cấu hình chứa thông tin xác thực này trong tệp đính kèm email, mã hoá cứng thông tin xác thực hoặc chuyển thông tin xác thực đó vào kho lưu trữ mã. Bạn nên sử dụng trình quản lý khoá bí mật như Trình quản lý khoá bí mật của Google Cloud hoặc Trình quản lý khoá bí mật của AWS khi có thể.

Nếu thông tin bí mật của ứng dụng khách OAuth 2.0 bị xâm phạm, bạn có thể đặt lại thông tin đó. Bạn cũng có thể đặt lại mã thông báo dành cho nhà phát triển.

Bảo mật mã của nhà phát triển

Mã của nhà phát triển cho phép bạn thực hiện lệnh gọi API đến một tài khoản, nhưng không có quy định hạn chế về tài khoản mà bạn có thể sử dụng để thực hiện lệnh gọi. Do đó, người khác có thể sử dụng mã thông báo nhà phát triển bị xâm phạm để thực hiện các lệnh gọi được phân bổ cho ứng dụng của bạn. Để tránh trường hợp này, hãy thực hiện các biện pháp phòng ngừa sau:

Hãy coi mã của nhà phát triển như một mật khẩu. Đừng chia sẻ mã thông báo bằng các cơ chế không an toàn, chẳng hạn như đăng trên diễn đàn công khai hoặc gửi tệp cấu hình chứa mã thông báo nhà phát triển dưới dạng tệp đính kèm email. Bạn nên sử dụng trình quản lý khoá bí mật như Trình quản lý khoá bí mật của Google Cloud hoặc Trình quản lý khoá bí mật của AWS khi có thể.
Nếu mã thông báo nhà phát triển của bạn bị xâm phạm, bạn nên đặt lại mã thông báo đó.
- Đăng nhập vào tài khoản người quản lý Google Ads mà bạn đã sử dụng khi đăng ký API Google Ads.
- Chuyển đến phần Công cụ và cài đặt > Trung tâm API.
- Nhấp vào mũi tên thả xuống bên cạnh Mã thông báo dành cho nhà phát triển.
- Nhấp vào đường liên kết Đặt lại mã thông báo. Mã nhà phát triển cũ của bạn sẽ ngừng hoạt động ngay lập tức.
- Cập nhật cấu hình phát hành công khai của ứng dụng để sử dụng mã thông báo nhà phát triển mới.

Bảo mật tài khoản dịch vụ

Tài khoản dịch vụ yêu cầu tính năng mạo danh trên toàn miền để hoạt động đúng cách với API Google Ads. Ngoài ra, bạn phải là khách hàng của Google Workspace để thiết lập tính năng mạo danh trên toàn miền. Vì những lý do này, bạn không nên sử dụng tài khoản dịch vụ khi thực hiện lệnh gọi API Google Ads. Tuy nhiên, nếu quyết định sử dụng tài khoản dịch vụ, bạn nên bảo mật các tài khoản đó như sau:

Xem khoá tài khoản dịch vụ và tệp JSON là mật khẩu. Bảo mật các khoá này bằng cách sử dụng trình quản lý khoá bí mật, chẳng hạn như Trình quản lý khoá bí mật của Google Cloud hoặc Trình quản lý khoá bí mật của AWS khi có thể.
Hãy làm theo các phương pháp hay nhất khác của Google Cloud để bảo mật và quản lý tài khoản dịch vụ của bạn.

Bảo mật mã thông báo người dùng

Nếu ứng dụng của bạn uỷ quyền cho nhiều người dùng, bạn nên thực hiện thêm các bước để bảo vệ mã thông báo truy cập và làm mới của người dùng. Lưu trữ mã thông báo một cách an toàn ở trạng thái tĩnh và không bao giờ truyền mã thông báo ở dạng văn bản thuần tuý. Sử dụng hệ thống lưu trữ an toàn phù hợp với nền tảng của bạn.

Xử lý việc thu hồi và hết hạn mã làm mới

Nếu ứng dụng của bạn yêu cầu mã làm mới OAuth 2.0 trong quá trình uỷ quyền, bạn cũng phải xử lý việc mã này không hợp lệ hoặc hết hạn. Mã thông báo làm mới có thể không hợp lệ vì nhiều lý do và ứng dụng của bạn phải phản hồi một cách linh hoạt bằng cách uỷ quyền lại cho người dùng trong phiên đăng nhập tiếp theo hoặc xoá dữ liệu của họ khi thích hợp. Các công việc ngoại tuyến, chẳng hạn như công việc cron, sẽ phát hiện và ghi lại những tài khoản có mã thông báo làm mới đã hết hạn, thay vì tiếp tục gửi các yêu cầu không thành công. Google có thể điều tiết các ứng dụng tạo ra nhiều lỗi trong một khoảng thời gian liên tục để duy trì sự ổn định của máy chủ API.

Quản lý sự đồng ý cho nhiều phạm vi

Nếu ứng dụng của bạn yêu cầu uỷ quyền cho nhiều phạm vi OAuth 2.0, thì người dùng có thể không cấp tất cả các phạm vi OAuth mà bạn đã yêu cầu. Ứng dụng của bạn phải xử lý việc từ chối phạm vi bằng cách tắt các tính năng có liên quan. Bạn chỉ có thể nhắc người dùng lần nữa sau khi họ cho biết rõ ý định sử dụng tính năng cụ thể yêu cầu phạm vi đó. Sử dụng tính năng uỷ quyền gia tăng để yêu cầu các phạm vi OAuth thích hợp trong những trường hợp như vậy.

Nếu các tính năng cơ bản của ứng dụng yêu cầu nhiều phạm vi, hãy giải thích yêu cầu này cho người dùng trước khi nhắc họ đồng ý.