Best Practices für Datenschutz und Sicherheit
Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Hier sind einige Sicherheits- und Datenschutzrichtlinien für Entwickler, die die Google Assistant API in ihren Projekten verwenden.
API und Anwendungsautorisierung
Jede Anwendung, die die Google Assistant API verwendet, muss Anmeldedaten für die Autorisierung haben, durch die sie beim Authentifizierungsserver von Google identifiziert wird. In der Regel werden diese Anmeldedaten in einer heruntergeladenen client_secret_<client-id>.json-Datei gespeichert. Speichern Sie diese Datei an einem Speicherort, auf den nur Ihre Anwendung zugreifen kann.
Ihre App kann den Nutzer auffordern, ihr Zugriff auf sein Google-Konto zu gewähren. Wenn dies der Fall ist, kann Ihre Anwendung ein Zugriffstoken für diesen Nutzer anfordern. Diese Tokens laufen ab, können aber aktualisiert werden.
Ungeschützte Aktualisierungstokens auf einem Gerät stellen ein erhebliches Sicherheitsrisiko dar. Ihre Anwendung muss folgende Voraussetzungen erfüllen:
- Speichert die Aktualisierungstokens an einem sicheren Ort.
- Bietet eine einfache Möglichkeit, Tokens vom Gerät zu entfernen. Sie können beispielsweise eine Schaltfläche „Abmelden“ bereitstellen, mit der ein Token (wenn die Anwendung eine UI hat) oder ein Befehlszeilenskript gelöscht werden, das der Nutzer ausführen kann.
- Nutzer werden darüber informiert, dass sie den Zugriff auf ihr Google-Konto deaktivieren können. Dadurch wird das Aktualisierungstoken widerrufen. Um die Anwendung wieder verwenden zu können, muss der Nutzer den Zugriff noch einmal autorisieren.
Wenn Sie das Gerät nicht mehr dauerhaft verwenden möchten, sollten Sie alle Tokens vom Gerät löschen.
Weitere Informationen finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-07-26 (UTC).
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Benötigte Informationen nicht gefunden","missingTheInformationINeed","thumb-down"],["Zu umständlich/zu viele Schritte","tooComplicatedTooManySteps","thumb-down"],["Nicht mehr aktuell","outOfDate","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Problem mit Beispielen/Code","samplesCodeIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-26 (UTC)."],[[["\u003cp\u003eApplications using the Google Assistant API require authorization credentials, typically stored in a \u003ccode\u003eclient_secret_<client-id>.json\u003c/code\u003e file, which should be kept secure.\u003c/p\u003e\n"],["\u003cp\u003eUser granted access allows applications to request access tokens that expire but can be refreshed; however, unprotected refresh tokens pose a security risk and should be stored securely with options for users to clear them.\u003c/p\u003e\n"],["\u003cp\u003eDevelopers should inform users about the ability to deauthorize access to their Google account through Google's permissions page, which revokes the refresh token and requires re-authorization for further application use.\u003c/p\u003e\n"]]],["Applications using the Google Assistant API require authorization credentials, typically stored in a `client_secret` file, which should be securely stored. Applications may obtain user-specific access tokens, which can be refreshed. Refresh tokens must be securely stored, and applications should allow users to clear them, such as through a \"Sign out\" feature or a command line. Users should be informed that they can deauthorize application access, and all tokens should be cleared when a device is no longer used.\n"],null,["# Best Practices for Privacy and Security\n\nHere are some security and privacy guidelines for developers using the Google\nAssistant API in their projects.\n\nAPI and application authorization\n---------------------------------\n\nAny application that uses the Google Assistant API must have authorization\ncredentials that identify the application to Google's authentication server.\nTypically, these credentials are stored in a downloaded `client_secret_\u003cclient-id\u003e.json`\nfile. Make sure to store this file in a location that only your application\ncan access.\n\nYour application may prompt the user to grant it access to their Google account.\nIf granted, your application can request an access token for that user. These\ntokens expire, but can be refreshed.\n\nUnprotected refresh tokens on a device pose a significant security risk. Make\nsure your application:\n\n- Stores the refresh tokens in a secure place.\n- Provides an easy way to clear tokens from the device. For example, provide a \"Sign out\" button that clears a token (if the application has a UI) or a command line script that the user can execute.\n- Informs users that they can [deauthorize access](https://myaccount.google.com/permissions) to their Google account. This revokes the refresh token; to use the application again, the user would need to re-authorize access.\n\nWhen you are done using the device permanently, you should clear all of the\ntokens from it.\n\nFor more information, see [Using OAuth 2.0 to Access Google APIs](https://developers.google.com/identity/protocols/OAuth2)."]]
