Play Integrity API: برنامه دسترسی زودهنگام فعالیت حساب (EAP)

با فعالیت حساب Play، یک سیگنال جدید در Play Integrity API، یک استراتژی ضد سوء استفاده مؤثرتر و ظریف‌تر ایجاد کنید. فعالیت حساب با سطوح بر اساس حضور و حجم فعالیت فروشگاه و سن حساب ها در دستگاه نشان داده می شود. وقتی ارزیابی می‌شود، یک سطح فعالیت حساب برای جلسه کاربر فعلی برگردانده می‌شود و به شناسه‌های کاربر یا دستگاه پیوند داده نمی‌شود.

فعالیت حساب Play چیست؟

Play Integrity API مجموعه‌ای از سیگنال‌های یکپارچگی را برای کمک به توسعه‌دهندگان برنامه‌ها و بازی‌ها ارائه می‌کند تا ترافیک بالقوه خطرناک و متقلبانه را شناسایی کنند. توسعه‌دهندگان در این برنامه دسترسی زودهنگام می‌توانند فعالیت حساب را به پاسخ API خود اضافه کنند، پاسخی که قبلاً شامل احکام مجوز دستگاه، برنامه و حساب است. اگر احکام دستگاه، برنامه یا مجوز مشکل داشته باشد، فعالیت حساب مورد ارزیابی قرار نخواهد گرفت. اگر احکام موجود بدون مشکل باشد، فعالیت حساب به یک سطح باز می گردد. سطح بر اساس حضور و حجم فعالیت فروشگاه و سن اکانت ها در دستگاه تعیین می شود. این سطح به برنامه شما کمک می‌کند تا بین کاربران واقعی احتمالی و ترافیک غیراصلی (مانند حساب‌هایی که برای کلاهبرداری استفاده می‌شوند، حساب‌هایی که توسط ترافیک خودکار استفاده می‌شوند، یا حساب‌های مورد استفاده در مزارع دستگاه‌ها) تفاوت قائل شود. برنامه شما می‌تواند از این سیگنال در کنار سایرین هنگام محافظت از اقدامات حساس یا با ارزش بالا استفاده کند.

برنامه‌های شرکت‌کننده در برنامه دسترسی اولیه (EAP) می‌توانند یکی از سطوح فعالیت حساب زیر را برای جلسه کاربر فعلی دریافت کنند:

  • UNEVALUATED : فعالیت حساب ارزیابی نمی شود زیرا دستگاه مورد اعتماد نیست یا کاربر مجوز برنامه Play را ندارد.
  • UNUSUAL : فعالیت فروشگاه Google Play برای حداقل یکی از حساب‌های کاربری موجود در دستگاه غیرعادی است. Google Play توصیه می کند بررسی کنید که این یک کاربر واقعی است.
  • UNKNOWN : Google Play فعالیت فروشگاه کافی برای حساب کاربری در دستگاه ندارد. حساب ممکن است جدید باشد یا ممکن است در Google Play فعالیت نداشته باشد.
  • TYPICAL (BASIC) : فعالیت فروشگاه Google Play برای حساب کاربری یا حساب‌های موجود در دستگاه معمول است.
  • TYPICAL (STRONG) : فعالیت فروشگاه Google Play برای حساب کاربری یا حساب‌های موجود در دستگاه، با سیگنال‌هایی که تکرار آن سخت‌تر است، معمول است.

از فعالیت حساب به عنوان بخشی از استراتژی ضد سوء استفاده استفاده کنید

فعالیت حساب زمانی بهترین عملکرد را دارد که در کنار سیگنال های دیگر به عنوان بخشی از استراتژی کلی ضد سوء استفاده شما و نه به عنوان تنها مکانیسم ضد سوء استفاده شما استفاده شود. از این سیگنال و Play Integrity API در ارتباط با سایر بهترین شیوه های امنیتی مناسب برای برنامه خود استفاده کنید.

قبل از اقدام، تله متری را جمع آوری کنید و مخاطبان خود را درک کنید

قبل از اینکه عملکرد را بر اساس فعالیت حساب یا سایر احکام Play Integrity API تغییر دهید، API را بدون اجبار اجرا کنید تا وضعیت فعلی مخاطبان فعلی خود را درک کنید. هنگامی که می دانید پایه نصب فعلی شما به چه سطوحی بازمی گردد، می توانید تأثیر هر اجرایی را که در حال برنامه ریزی هستید تخمین بزنید و استراتژی ضد سوء استفاده خود را بر اساس آن تنظیم کنید.

هنگام دسترسی به ویژگی‌های با ارزش یا حساس، ترافیک پرخطر را به چالش بکشید

به جای اینکه مستقیماً از دسترسی به برنامه یا بازی خود جلوگیری کنید، اقدامات با ارزش یا حساس را در برنامه یا بازی خود شناسایی کنید تا با Play Integrity API از آن محافظت کنید. در صورت امکان، قبل از اجازه دادن به اقدامات با ارزش بالا، ترافیک پرخطر را به چالش بکشید. به عنوان مثال، زمانی که سطح فعالیت حساب UNUSUAL است، می‌توانید قبل از اینکه کاربر بتواند اقدامی را که از آن محافظت می‌کنید، به مکانیزم تأیید دوم نیاز داشته باشید.

برای پشتیبانی از کاربران برنامه ریزی کنید

در صورت امکان، پیام‌های خطای مفیدی را به کاربر ارائه دهید و به او اطلاع دهید که برای رفع آن چه کاری می‌تواند انجام دهد، مانند تلاش مجدد، فعال کردن اتصال اینترنت وی یا بررسی به روز بودن برنامه فروشگاه Google Play. ارزیابی‌های فعالیت حساب به‌صورت دوره‌ای توسط Google Play به‌روزرسانی می‌شوند. فعالیت‌های فروشگاه جدید می‌توانند به‌طور خودکار سطح کاربر را در طول این به‌روزرسانی‌های دوره‌ای تغییر دهند.

توصیه های موجود برای Play Integrity API را دنبال کنید

علاوه بر اقدامات قبلی، ملاحظات امنیتی Play Integrity API را بخوانید.

دسترسی زودهنگام به فعالیت حساب Play Integrity API دریافت کنید

برای شروع استفاده از فعالیت حساب، این مراحل را دنبال کنید.

مرحله 1: این ملاحظات مهم را مرور کنید

  • فعالیت حساب در حال توسعه فعال است و ممکن است تغییر کند.
  • فعالیت حساب همچنان محرمانه است. اطلاعات مربوط به فعالیت حساب یا سطوح فعالیت حساب را با کاربران نهایی به اشتراک نگذارید.
  • با استفاده از فعالیت حساب، با شرایط مندرج در توافقنامه توزیع برنامه‌نویس Google Play و شرایط سرویس Play Integrity API موافقت می‌کنید.
  • از برنامه‌نویسانی که در برنامه دسترسی زودهنگام شرکت می‌کنند انتظار می‌رود سیگنال فعالیت حساب را ارزیابی کنند و قبل از تغییر استراتژی اجرایی خود، بازخورد و اطلاعاتی درباره نتیجه ارزیابی خود به Google Play ارائه دهند.

مرحله 2: درخواست برای پیوستن به فعالیت حساب کاربری Play Integrity API EAP

برنامه‌نویسان در Google Play Partner Program for Games به‌طور خودکار به فعالیت حساب EAP دسترسی دارند و می‌توانند به مرحله 3 رد شوند.

سایر توسعه دهندگان می توانند با ارسال ایمیل integrity-api-eap@google.com با اطلاعات زیر علاقه خود را برای پیوستن به برنامه دسترسی اولیه ابراز کنند:

  • نام بسته و شناسه حساب توسعه دهنده شما.
  • تاییدیه که روش های توصیه شده برای فعالیت حساب را مطالعه کرده اید.
  • چگونه می‌خواهید فعالیت حساب را ارزیابی کنید و - اگر قبلاً ایده‌ای دارید - چگونه انتظار دارید از فعالیت حساب استفاده کنید.
  • پس از پذیرفته شدن در برنامه دسترسی زودهنگام فعالیت حساب، جدول زمانی مورد انتظار شما.

در حال حاضر، ما فقط توسعه‌دهندگانی را می‌پذیریم که آستانه‌های عملکردی با مقیاس بالا را در Google Play با حساب‌هایی که وضعیت خوبی دارند، برآورده می‌کنند.

مرحله 3: فعالیت حساب را در پاسخ Integrity API از کنسول Google Play روشن کنید

هنگامی که در برنامه دسترسی اولیه پذیرفته شدید، گزینه جدیدی را در صفحه Integrity API در Play Console خواهید دید تا فعالیت حساب را در پاسخ Play Integrity API شما لحاظ کند. وقتی آماده شدید، فعالیت حساب را در Play Console روشن کنید:

  1. وارد کنسول Play شوید.
  2. برنامه ای را انتخاب کنید که از فعالیت حساب استفاده می کند.
  3. در بخش Release در منوی سمت چپ، به App integrity بروید.
  4. در کنار Play Integrity API ، روی تنظیمات کلیک کنید.
  5. در بخش پاسخ‌های صفحه، در کنار فعالیت حساب ، روی روشن کردن کلیک کنید.
  6. در پنجره ای که ظاهر می شود، روی روشن کردن کلیک کنید.

وقتی فعالیت حساب را روشن یا خاموش می‌کنید، هر پاسخ آزمایشی Play Integrity API که در کنسول Play تنظیم کرده‌اید حذف می‌شود و باید دوباره آن‌ها را ایجاد کنید.

مرحله 4: Integrity API را در برنامه خود و سرور باطن برنامه خود یکپارچه کنید

اگر قبلاً این کار را انجام نداده‌اید، مستندات را دنبال کنید تا Play Integrity API در برنامه و سرور باطن برنامه‌تان ادغام شود .

مرحله 5: با فعالیت حساب کار کنید

پس از فعال شدن، قسمت accountDetails در بارگذاری Play Integrity API حاوی سیگنال فعالیت حساب جدید است که نشان دهنده فعالیت مرتبط با حساب های کاربری در دستگاه است.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity می تواند مقادیر زیر را داشته باشد:

غیر معمول
فعالیت فروشگاه Google Play برای حداقل یکی از حساب‌های کاربری موجود در دستگاه غیرعادی است.
ناشناخته
Google Play فعالیت فروشگاه کافی برای حساب کاربری در دستگاه ندارد. حساب ممکن است جدید باشد یا ممکن است در Google Play فعالیت نداشته باشد.
معمولی (اساسی)
فعالیت فروشگاه Google Play برای حساب کاربری یا حساب‌های موجود در دستگاه معمول است.
معمولی (قوی)
فعالیت فروشگاه Google Play برای حساب کاربری یا حساب‌های موجود در دستگاه، با سیگنال‌هایی که تکرار آن سخت‌تر است، معمول است.
بدون ارزش گذاری

فعالیت حساب ارزیابی نمی شود زیرا یک نیاز ضروری از قلم افتاده است.

این ممکن است به دلایل مختلفی رخ دهد، از جمله موارد زیر:

  • دستگاه به اندازه کافی قابل اعتماد نیست.
  • نسخه برنامه نصب شده شما در دستگاه برای Google Play ناشناخته است.
  • کاربر وارد Google Play نشده است.
  • کاربر مجوز لازم برای دسترسی به برنامه را ندارد.

برای بررسی اینکه حساب‌های کاربری در دستگاه دارای فعالیت حساب غیرعادی هستند، بررسی کنید که accountActivity.activityLevel همانطور که در قطعه کد زیر نشان داده شده است مطابق انتظار است:

کاتلین 

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

جاوا 

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

مرحله 6: ادغام خود را با فعالیت حساب آزمایش کنید

می‌توانید آزمایش‌هایی را برای ارزیابی نحوه تعامل سطوح فعالیت حساب از Play Integrity API با برنامه‌تان با استفاده از ویژگی تست Play Integrity API ایجاد کنید. دستورالعمل‌های استفاده از این ویژگی آزمایشی در مرکز راهنمای Play Console موجود است.

مرحله 7: بازخورد دسترسی اولیه به Google Play را ارائه دهید

ما از شرکت کنندگان در برنامه دسترسی زودهنگام می خواهیم که بازخورد خود را در مورد فعالیت حساب ارائه دهند. برای ارائه بازخورد، integrity-api-eap@google.com را ایمیل کنید. تیم تحقیقاتی توسعه‌دهنده ما نیز برای ترتیب دادن مصاحبه‌ها در تماس خواهند بود. ما علاقه مند به درک موارد زیر هستیم:

  • سطح فعالیت حساب تا چه حد با حساب‌های سوءاستفاده‌کننده شناخته شده برای برنامه یا بازی شما مرتبط است؟
  • آیا توزیع مخاطب در فعالیت حساب و سایر احکام Play Integrity API با انتظارات شما مطابقت دارد؟
  • چه مشکلات سوء استفاده ای را با فعالیت حساب و سایر احکام Play Integrity API حل می کنید؟
  • بر اساس فعالیت حساب و سایر احکام Play Integrity API قصد دارید چه عملکردی را تغییر دهید؟

سایر ابزارهای یکپارچگی Play

استفاده از سایر ابزارهای حفاظت از یکپارچگی را به عنوان بخشی از استراتژی ضد سوء استفاده خود در نظر بگیرید: