Bonnes pratiques en matière de confidentialité et de sécurité
Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.
Voici quelques consignes de sécurité et de confidentialité destinées aux développeurs qui utilisent l'API Assistant Google dans leurs projets.
Autorisation des API et des applications
Toute application qui utilise l'API de l'Assistant Google doit disposer d'identifiants d'autorisation qui l'identifient auprès du serveur d'authentification de Google. En règle générale, ces identifiants sont stockés dans un fichier client_secret_<client-id>.json téléchargé. Veillez à stocker ce fichier dans un emplacement auquel seule votre application peut accéder.
Votre application peut inviter l'utilisateur à lui accorder l'accès à son compte Google. Si l'autorisation est accordée, votre application peut demander un jeton d'accès pour cet utilisateur. Ces jetons expirent, mais peuvent être actualisés.
Les jetons d'actualisation non protégés sur un appareil présentent un risque de sécurité important. Assurez-vous que votre application:
- Stocke les jetons d'actualisation dans un endroit sécurisé.
- Permet d'effacer facilement les jetons de l'appareil. Par exemple, fournissez un bouton "Se déconnecter" qui efface un jeton (si l'application dispose d'une interface utilisateur) ou un script de ligne de commande que l'utilisateur peut exécuter.
- Informe les utilisateurs qu'ils peuvent annuler l'autorisation de l'accès à leur compte Google. Cette action révoque le jeton d'actualisation. Pour pouvoir réutiliser l'application, l'utilisateur doit autoriser à nouveau l'accès.
Lorsque vous avez fini d'utiliser l'appareil en permanence, vous devez supprimer tous ses jetons.
Pour plus d'informations, consultez Utiliser OAuth 2.0 pour accéder aux API Google.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/07/26 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Il n'y a pas l'information dont j'ai besoin","missingTheInformationINeed","thumb-down"],["Trop compliqué/Trop d'étapes","tooComplicatedTooManySteps","thumb-down"],["Obsolète","outOfDate","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Mauvais exemple/Erreur de code","samplesCodeIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/07/26 (UTC)."],[[["\u003cp\u003eApplications using the Google Assistant API require authorization credentials, typically stored in a \u003ccode\u003eclient_secret_<client-id>.json\u003c/code\u003e file, which should be kept secure.\u003c/p\u003e\n"],["\u003cp\u003eUser granted access allows applications to request access tokens that expire but can be refreshed; however, unprotected refresh tokens pose a security risk and should be stored securely with options for users to clear them.\u003c/p\u003e\n"],["\u003cp\u003eDevelopers should inform users about the ability to deauthorize access to their Google account through Google's permissions page, which revokes the refresh token and requires re-authorization for further application use.\u003c/p\u003e\n"]]],["Applications using the Google Assistant API require authorization credentials, typically stored in a `client_secret` file, which should be securely stored. Applications may obtain user-specific access tokens, which can be refreshed. Refresh tokens must be securely stored, and applications should allow users to clear them, such as through a \"Sign out\" feature or a command line. Users should be informed that they can deauthorize application access, and all tokens should be cleared when a device is no longer used.\n"],null,["# Best Practices for Privacy and Security\n\nHere are some security and privacy guidelines for developers using the Google\nAssistant API in their projects.\n\nAPI and application authorization\n---------------------------------\n\nAny application that uses the Google Assistant API must have authorization\ncredentials that identify the application to Google's authentication server.\nTypically, these credentials are stored in a downloaded `client_secret_\u003cclient-id\u003e.json`\nfile. Make sure to store this file in a location that only your application\ncan access.\n\nYour application may prompt the user to grant it access to their Google account.\nIf granted, your application can request an access token for that user. These\ntokens expire, but can be refreshed.\n\nUnprotected refresh tokens on a device pose a significant security risk. Make\nsure your application:\n\n- Stores the refresh tokens in a secure place.\n- Provides an easy way to clear tokens from the device. For example, provide a \"Sign out\" button that clears a token (if the application has a UI) or a command line script that the user can execute.\n- Informs users that they can [deauthorize access](https://myaccount.google.com/permissions) to their Google account. This revokes the refresh token; to use the application again, the user would need to re-authorize access.\n\nWhen you are done using the device permanently, you should clear all of the\ntokens from it.\n\nFor more information, see [Using OAuth 2.0 to Access Google APIs](https://developers.google.com/identity/protocols/OAuth2)."]]
