Play Integrity API: برنامج الاستخدام التجريبي لنشاط الحساب (EAP)

يمكنك إنشاء استراتيجية مكافحة إساءة استخدام أكثر فعالية ودقة باستخدام نشاط حساب Play، وهي إشارة جديدة في واجهة برمجة التطبيقات Play Integrity API. ويتم تمثيل نشاط الحساب حسب المستويات استنادًا إلى مدى توفّر نشاط المتجر وحجمه وعمر الحسابات على الجهاز. وعند تقييمه، يتم عرض مستوى نشاط الحساب لجلسة المستخدم الحالية ولا يتم ربطه بمعرّفات المستخدم أو الجهاز.

ما هو نشاط حساب Play؟

تقدّم واجهة برمجة التطبيقات Play Integrity API مجموعة من إشارات السلامة لمساعدة مطوّري التطبيقات والألعاب في رصد الزيارات التي يُحتمل أن تكون خطيرة أو احتيالية. يمكن لمطوّري البرامج في "برنامج استخدام المنتج قبل إطلاقه" هذا إضافة نشاط الحساب إلى استجابة واجهة برمجة التطبيقات التي تتضمّن بيانات ترخيص الجهاز والتطبيق والحساب. إذا كانت بيانات الجهاز أو التطبيق أو الترخيص بها مشاكل، لن يتم تقييم نشاط الحساب. إذا كانت البيانات الحالية خالية من المشاكل، سيعود نشاط الحساب إلى مستوى أعلى. ويتمّ تحديد هذا المستوى استنادًا إلى مدى توفّر أنشطة المتجر وحجمها وعمر الحسابات على الجهاز. سيساعد هذا المستوى تطبيقك في التفريق بين المستخدمين الذين من المرجَح أن يكونوا حقيقيين والزيارات التي من المرجَح أن تكون غير حقيقية (مثل الحسابات التي يتم استخدامها في عمليات الاحتيال أو الحسابات التي تستخدمها الزيارات الآلية أو الحسابات المُستخدَمة في مزارع الأجهزة). يمكن لتطبيقك استخدام هذه الإشارة إلى جانب غيرها عند حماية الإجراءات العالية القيمة أو الحساسة.

يمكن للتطبيقات المشارِكة في برنامج استخدام المنتج قبل إطلاقه (EAP) تلقّي أحد مستويات نشاط الحساب التالية لجلسة المستخدم الحالية:

  • UNEVALUATED: لم يتم تقييم نشاط الحساب لأن الجهاز غير موثوق به أو أن المستخدم ليس لديه ترخيص لتطبيق Play.
  • UNUSUAL: نشاط "متجر Google Play" غير معتاد لحساب مستخدم واحد على الأقل على الجهاز. ينصح Google Play بالتأكد من أن هذا المستخدم حقيقي.
  • UNKNOWN: لا تتضمّن خدمة Google Play نشاط المتجر الكافي لحساب المستخدم على الجهاز. قد يكون الحساب جديدًا، أو ربما يفتقر إلى النشاط على Google Play.
  • TYPICAL (BASIC): إنّ نشاط "متجر Google Play" هو نشاط عادي لحساب المستخدم أو الحسابات على الجهاز.
  • TYPICAL (STRONG): إنّ نشاط "متجر Google Play" هو نشاط عادي لحساب المستخدم أو الحسابات على الجهاز، وتكون هناك إشارات أصعب تكرارها.

استخدام نشاط الحساب كجزء من استراتيجية مكافحة إساءة الاستخدام

يعمل نشاط الحساب بشكل أفضل عند استخدامه إلى جانب إشارات أخرى كجزء من استراتيجيتك العامة لمكافحة إساءة الاستخدام وليس كآلية فردية مخصّصة لك لمكافحة إساءة الاستخدام. استخدِم هذه الإشارة وواجهة Play Integrity API جنبًا إلى جنب مع أفضل ممارسات الأمان الأخرى المناسبة لتطبيقك.

جمع بيانات القياس عن بُعد وفهم الجمهور قبل اتّخاذ أي إجراء

قبل تغيير الوظيفة استنادًا إلى نشاط الحساب أو قرارات أخرى بشأن واجهة برمجة التطبيقات Play Integrity API، يُرجى تنفيذ واجهة برمجة التطبيقات بدون فرض أي من هذه الإجراءات لفهم الوضع الحالي مع جمهورك الحالي. بعد أن تعرف مستويات ارتفاع عدد الأجهزة النشطة التي تم تثبيت تطبيقك عليها، يمكنك تقدير تأثير أي إجراء تخطط له وتعديل استراتيجية مكافحة إساءة الاستخدام وفقًا لذلك.

تحدّي الزيارات الخطرة عند الوصول إلى ميزات عالية القيمة أو حسّاسة

يمكنك تحديد الإجراءات الحسّاسة أو ذات القيمة العالية في تطبيقك أو لعبتك لحمايتها باستخدام Play Integrity API بدلاً من رفض الوصول مباشرةً إلى التطبيق أو اللعبة. تحدي الزيارات الخطرة قبل السماح بمتابعة الإجراءات عالية القيمة، إذا كان ذلك ممكنًا. على سبيل المثال، عندما يكون مستوى نشاط الحساب هو UNUSUAL، قد تحتاج إلى استخدام آلية تحقّق ثانية قبل أن يتمكّن المستخدم من إكمال الإجراء الذي تحميه.

التخطيط للحصول على دعم المستخدمين

إذا أمكن، قدِّم رسائل خطأ مفيدة للمستخدم وأخبره بما يمكنه فعله لإصلاح المشكلة، مثل إعادة المحاولة أو تفعيل الاتصال بالإنترنت أو التأكّد من أن تطبيق "متجر Google Play" محدَّث. يتم تحديث تقييمات نشاط الحساب بشكل دوري من خلال Google Play. يمكن لأنشطة المتجر الجديدة تغيير مستوى المستخدم تلقائيًا أثناء هذه التحديثات الدورية.

اتّباع الاقتراحات الحالية بشأن Play Integrity API

بالإضافة إلى الممارسات السابقة، يُرجى الاطّلاع على اعتبارات الأمان المتعلّقة بواجهة برمجة التطبيقات Play Integrity API.

استخدام نشاط حساب واجهة برمجة التطبيقات Play Integrity API قبل إطلاقه

اتّبِع الخطوات التالية لبدء استخدام نشاط الحساب.

الخطوة 1: مراجعة هذه الاعتبارات المهمة

  • نشاط الحساب في مرحلة التطوير النشط وهو عرضة للتغيير.
  • لا يزال نشاط الحساب سريًا. لا تشارك معلومات حول نشاط الحساب أو مستويات نشاط الحساب مع المستخدمين النهائيين.
  • يشير استخدامك لنشاط الحساب إلى موافقتك على البنود الواردة في اتفاقية توزيع مطوّري البرامج في Google Play وبنود خدمة Play Integrity API.
  • من المتوقّع أن يقيّم المطوّرون المشاركون في "برنامج استخدام التطبيق قبل إطلاقه" إشارة نشاط الحساب وأن يقدّموا ملاحظات ومعلومات حول نتيجة تقييمهم في Google Play قبل تغيير استراتيجية التنفيذ.

الخطوة 2: طلب الانضمام إلى برنامج المستخدم في مرحلة مبكرة لنشاط حساب واجهة برمجة التطبيقات Play Integrity API

يمكن لمطوّري البرامج في برنامج شركاء Google Play للألعاب تلقائيًا الوصول إلى نشاط الحساب EAP ويمكنهم التخطي إلى الخطوة 3.

يمكن للمطوّرين الآخرين إبداء اهتمامهم بالانضمام إلى "برنامج استخدام التطبيق قبل إطلاقه" من خلال إرسال رسالة إلكترونية إلى integrity-api-eap@google.com مع تضمين المعلومات التالية:

  • اسم الحزمة ورقم تعريف حساب المطوّر
  • التأكيد على أنك قرأت الممارسات المقترحة لنشاط الحساب.
  • الطريقة التي تنوي بها تقييم نشاط الحساب، وإذا كانت لديك فكرة حاليًا، كيف تتوقع استخدام نشاط الحساب.
  • مخططك الزمني المتوقع بعد قبولك في برنامج استخدام الحساب قبل إطلاقه.

لا نقبل في الوقت الحالي سوى مطوّري البرامج الذين يستوفون حدودًا للأداء على نطاق واسع على Google Play، والذين لديهم حسابات في وضع جيد.

الخطوة 3: تفعيل نشاط الحساب في ردّ Integrity API من Google Play Console

بعد قبولك في برنامج استخدام المنتج قبل إطلاقه، سيظهر لك خيار جديد في صفحة Integrity API في Play Console لتضمين نشاط الحساب في ردّك من واجهة برمجة التطبيقات Play Integrity API. عندما تكون جاهزًا، شغّل نشاط الحساب في Play Console:

  1. سجِّل الدخول إلى Play Console.
  2. اختَر التطبيق الذي سيستخدم نشاط الحساب.
  3. في قسم الإصدار من القائمة اليمنى، انتقِل إلى سلامة التطبيق.
  4. بجانب Play Integrity API، انقر على الإعدادات.
  5. في قسم الردود من الصفحة، بجانب نشاط الحساب، انقر على تفعيل.
  6. في النافذة التي تظهر، انقر على تفعيل.

عند تفعيل إعدادات نشاط الحساب أو إيقافها، سيتم حذف أي ردود اختبارية من واجهة Play Integrity API أعددتها في Play Console، وعليك إنشاء هذه الردود من جديد.

الخطوة 4: دمج Integrity API في تطبيقك وخادم الخلفية في تطبيقك

يُرجى اتّباع المستندات لدمج واجهة برمجة التطبيقات Play Integrity API في تطبيقك وخادم الخلفية في تطبيقك، إذا لم يسبق لك فعل ذلك.

الخطوة 5: استخدام نشاط الحساب

بعد تفعيل الميزة، سيحتوي الحقل accountDetails في حمولة واجهة برمجة التطبيقات في Play Integrity API على إشارة نشاط الحساب الجديدة التي تمثل النشاط المرتبط بحسابات المستخدمين على الجهاز.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

يمكن أن تحتوي accountActivity على القيم التالية:

غير عادي
إنّ نشاط متجر Google Play هو نشاط غير معتاد في حساب واحد على الأقل من حسابات المستخدمين على الجهاز.
UNKNOWN
لا يتضمّن Google Play نشاط متجر كافيًا لحساب المستخدم على الجهاز. قد يكون الحساب جديدًا أو لا يتضمّن نشاطًا على Google Play.
نمطي (أساسي)
إنّ نشاط "متجر Google Play" هو نشاط عادي لحساب المستخدم أو الحسابات على الجهاز.
عادي (قوي)
إنّ نشاط "متجر Google Play" هو نشاط عادي لحساب المستخدم أو حساباته على الجهاز، مع إشارات يصعُب تكرارها.
غير مُقيَّم

لم يتم تقييم نشاط الحساب بسبب عدم استيفاء أحد المتطلبات الضرورية.

قد يحدث ذلك لعدة أسباب، بما في ذلك ما يلي:

  • الجهاز ليس جديرًا بالثقة بما فيه الكفاية.
  • لا يتعرّف Google Play على إصدار التطبيق المثبّت على الجهاز.
  • لم يسجّل المستخدم الدخول إلى Google Play.
  • لا يملك المستخدم الترخيص اللازم للوصول إلى التطبيق.

للتحقق من أن حسابات المستخدمين على الجهاز لديها نشاط غير معتاد للحساب، يمكنك التحقق من أن accountActivity.activityLevel كما هو متوقع، كما هو موضح في مقتطف الرمز التالي:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

الخطوة 6: اختبار الدمج مع نشاط الحساب

يمكنك إنشاء اختبارات لتقييم مدى تفاعل مستويات نشاط الحساب من واجهة برمجة التطبيقات Play Integrity API مع تطبيقك باستخدام ميزة اختبار واجهة برمجة التطبيقات Play Integrity API المتاحة. تتوفر التعليمات الخاصة باستخدام هذه الميزة التجريبية في مركز مساعدة Play Console.

الخطوة 7: تقديم ملاحظات عن استخدام المنتج قبل إطلاقه في Google Play

نريد من المشاركين في برنامج استخدام المنتج قبل إطلاقه تقديم ملاحظاتهم حول نشاط الحساب. لإرسال الملاحظات، يُرجى إرسال رسالة إلكترونية إلى integrity-api-eap@google.com. وسيتواصل أيضًا مع فريق الأبحاث المخصص لدينا لترتيب المقابلات. نحن مهتمون بفهم ما يلي:

  • ما مدى دقة ارتباط مستوى نشاط الحساب بالحسابات المسيئة المعروفة لتطبيقك أو لعبتك؟
  • هل يتوافق توزيع الجمهور لنشاط الحساب وبيانات السلامة الأخرى لواجهة برمجة التطبيقات في Play Integrity API مع توقعاتك؟
  • ما هي مشاكل إساءة الاستخدام التي تحاول حلها باستخدام نشاط الحساب وغيرها من بيانات السلامة الصادرة عن واجهة برمجة التطبيقات Play Integrity API؟
  • ما هي الوظيفة التي تخطّط لتغييرها استنادًا إلى نشاط الحساب ونتائج Play Integrity API الأخرى؟

أدوات السلامة الأخرى في Play

ننصحك باستخدام الأدوات الأخرى التالية لتوفير السلامة كجزء من استراتيجية منع إساءة الاستخدام: