Práticas recomendadas de privacidade e segurança
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.
Veja algumas diretrizes de segurança e privacidade para desenvolvedores que usam a API Google Assistente nos projetos deles.
Autorização de API e aplicativo
Qualquer aplicativo que use a API Google Assistant precisa ter credenciais de autorização que identifiquem o aplicativo para o servidor de autenticação do Google. Normalmente, essas credenciais são armazenadas em um arquivo client_secret_<client-id>.json transferido por download. Armazene esse arquivo em um local que somente seu aplicativo possa acessar.
O aplicativo pode solicitar que o usuário conceda acesso à Conta do Google dele. Se concedido, seu aplicativo pode solicitar um token de acesso para esse usuário. Esses tokens expiram, mas podem ser atualizados.
Os tokens de atualização desprotegidos em um dispositivo representam um risco significativo à segurança. Verifique se o aplicativo:
- Armazena os tokens de atualização em um local seguro.
- Fornece uma maneira fácil de limpar tokens do dispositivo. Por exemplo, forneça um botão "Sair" que limpe um token (se o aplicativo tiver uma interface) ou um script de linha de comando que o usuário possa executar.
- Informa aos usuários que eles podem desautorizar o acesso à Conta do Google. Isso revoga o token de atualização. Para usar o aplicativo novamente, o usuário precisará autorizar o acesso outra vez.
Quando terminar de usar o dispositivo permanentemente, limpe todos os tokens dele.
Para mais informações, consulte Como usar o OAuth 2.0 para acessar as APIs do Google.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-07-26 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-07-26 UTC."],[[["\u003cp\u003eApplications using the Google Assistant API require authorization credentials, typically stored in a \u003ccode\u003eclient_secret_<client-id>.json\u003c/code\u003e file, which should be kept secure.\u003c/p\u003e\n"],["\u003cp\u003eUser granted access allows applications to request access tokens that expire but can be refreshed; however, unprotected refresh tokens pose a security risk and should be stored securely with options for users to clear them.\u003c/p\u003e\n"],["\u003cp\u003eDevelopers should inform users about the ability to deauthorize access to their Google account through Google's permissions page, which revokes the refresh token and requires re-authorization for further application use.\u003c/p\u003e\n"]]],["Applications using the Google Assistant API require authorization credentials, typically stored in a `client_secret` file, which should be securely stored. Applications may obtain user-specific access tokens, which can be refreshed. Refresh tokens must be securely stored, and applications should allow users to clear them, such as through a \"Sign out\" feature or a command line. Users should be informed that they can deauthorize application access, and all tokens should be cleared when a device is no longer used.\n"],null,["# Best Practices for Privacy and Security\n\nHere are some security and privacy guidelines for developers using the Google\nAssistant API in their projects.\n\nAPI and application authorization\n---------------------------------\n\nAny application that uses the Google Assistant API must have authorization\ncredentials that identify the application to Google's authentication server.\nTypically, these credentials are stored in a downloaded `client_secret_\u003cclient-id\u003e.json`\nfile. Make sure to store this file in a location that only your application\ncan access.\n\nYour application may prompt the user to grant it access to their Google account.\nIf granted, your application can request an access token for that user. These\ntokens expire, but can be refreshed.\n\nUnprotected refresh tokens on a device pose a significant security risk. Make\nsure your application:\n\n- Stores the refresh tokens in a secure place.\n- Provides an easy way to clear tokens from the device. For example, provide a \"Sign out\" button that clears a token (if the application has a UI) or a command line script that the user can execute.\n- Informs users that they can [deauthorize access](https://myaccount.google.com/permissions) to their Google account. This revokes the refresh token; to use the application again, the user would need to re-authorize access.\n\nWhen you are done using the device permanently, you should clear all of the\ntokens from it.\n\nFor more information, see [Using OAuth 2.0 to Access Google APIs](https://developers.google.com/identity/protocols/OAuth2)."]]
