Play Integrity API: Hesap etkinliği erken erişim programı (EAP)

Play Integrity API'deki yeni bir sinyal olan Play hesap hareketleri ile daha etkili ve ayrıntılı bir kötüye kullanım önleme stratejisi oluşturun. Hesap etkinliği, mağaza etkinliğinin varlığına ve hacmine ve cihazdaki hesapların yaşına göre seviyelerle temsil edilir. Değerlendirildiğinde, mevcut kullanıcı oturumu için bir hesap etkinliği düzeyi döndürülür ve bu düzey, kullanıcı veya cihaz tanımlayıcılarıyla bağlantılı değildir.

Play hesap hareketleri nedir?

Play Integrity API, uygulama ve oyun geliştiricilerin riskli ve sahte olabilecek trafiği tespit etmelerine yardımcı olmak için bir dizi bütünlük sinyali sunar. Bu erken erişim programındaki geliştiriciler, API yanıtlarına cihaz, uygulama ve hesap lisansı kararlarını içeren hesap hareketlerini ekleyebilir. Cihaz, uygulama veya lisans kararlarında sorun varsa hesap etkinliği değerlendirilmez. Mevcut kararlarda sorun yoksa hesap etkinliği bir düzey döndürür. Seviye, mağaza etkinliğinin varlığı ve hacmine, ayrıca cihazdaki hesapların yaşına göre belirlenir. Bu düzey, uygulamanızın gerçek kullanıcı trafiği ile gerçek olmayan trafiği (ör. sahtekarlık için kullanılan hesaplar, otomatik trafik tarafından kullanılan hesaplar veya cihaz çiftliklerinde kullanılan hesaplar) ayırt etmesine yardımcı olur. Uygulamanız, yüksek değerli veya hassas işlemleri korurken diğerleriyle birlikte bu sinyali kullanabilir.

Erken erişim programına (EAP) katılan uygulamalar, mevcut kullanıcı oturumu için aşağıdaki hesap etkinliği düzeylerinden birini alabilir:

  • UNEVALUATED: Cihaz güvenilir olmadığı veya kullanıcının Play uygulaması lisansı olmadığı için hesap etkinliği değerlendirilmez.
  • UNUSUAL: Cihazdaki kullanıcı hesaplarından en az biri için Google Play Store etkinliği olağan dışı. Google Play, bunun gerçek bir kullanıcı olup olmadığını kontrol etmenizi önerir.
  • UNKNOWN: Google Play, cihazdaki kullanıcı hesabı için yeterli mağaza etkinliğine sahip değildir. Hesap yeni olabilir veya Google Play'de etkin olmayabilir.
  • TYPICAL (BASIC): Google Play Store etkinliği, cihazdaki kullanıcı hesabı veya hesaplar için tipiktir.
  • TYPICAL (STRONG): Google Play Store etkinliği, cihazdaki kullanıcı hesabı veya hesaplar için tipiktir ve taklit edilmesi daha zor sinyaller içerir.

Kötüye kullanımla mücadele stratejisinin bir parçası olarak hesap etkinliğini kullanma

Hesap etkinliği, kötüye kullanımı önleme mekanizmanız olarak değil, genel kötüye kullanım önleme stratejinizin bir parçası olarak diğer sinyallerle birlikte kullanıldığında en iyi performansı gösterir. Bu sinyali ve Play Integrity API'yi, uygulamanız için uygun diğer güvenlik en iyi uygulamalarıyla birlikte kullanın.

İşlem yapmadan önce kitlenizi anlamak için telemetri toplayın

Hesap etkinliğine veya diğer Play Integrity API kararlarına göre işlevi değiştirmeden önce, mevcut kitlenizle ilgili mevcut durumu anlamak için API'yi yaptırım olmadan uygulayın. Mevcut yükleme tabanınızın hangi seviyelerde geri geldiğini öğrendikten sonra, planladığınız yaptırımın etkisini tahmin edebilir ve kötüye kullanımla mücadele stratejinizi buna göre ayarlayabilirsiniz.

Yüksek değerli veya hassas özelliklere erişirken riskli trafiği sorgulama

Uygulamanıza veya oyununuza erişimi tamamen reddetmek yerine, Play Integrity API ile korumak için uygulamanızdaki veya oyununuzdaki yüksek değerli ya da hassas işlemleri tanımlayın. Mümkün olduğunda, yüksek değerli işlemlerin devam etmesine izin vermeden önce riskli trafikle mücadele edin. Örneğin, hesap etkinliği düzeyi UNUSUAL olduğunda, kullanıcının koruduğunuz işlemi tamamlayabilmesi için ikinci bir doğrulama mekanizması zorunlu tutabilirsiniz.

Kullanıcı desteği için planlama yapma

Mümkün olduğunda kullanıcıya faydalı hata mesajları gösterin ve sorunu düzeltmek için neler yapabileceklerini (ör. yeniden denemek, internet bağlantısını etkinleştirmek veya Google Play Store uygulamasının güncel olup olmadığını kontrol etmek) açıklayın. Hesap etkinliği değerlendirmeleri Google Play tarafından düzenli olarak güncellenir. Yeni mağaza etkinlikleri, bu dönemsel güncellemeler sırasında kullanıcının seviyesini otomatik olarak değiştirebilir.

Play Integrity API ile ilgili mevcut önerileri uygulayın

Yukarıdaki uygulamalara ek olarak Play Integrity API ile ilgili güvenlikle ilgili dikkat edilmesi gerekenler bölümünü okuyun.

Play Integrity API hesap hareketlerine erken erişim

Hesap hareketlerini kullanmaya başlamak için aşağıdaki adımları uygulayın.

1. Adım: Bu önemli noktaları inceleyin

  • Hesap etkinliği, geliştirme aşamasında olduğundan değişebilir.
  • Hesap etkinliği hâlâ gizlidir. Hesap etkinliği veya hesap etkinliği düzeyleri hakkındaki bilgileri son kullanıcılarla paylaşmayın.
  • Hesap hareketlerini kullanarak Google Play Geliştirici Dağıtım Sözleşmesi ve Play Integrity API Hizmet Şartları'ndaki şartları kabul etmiş olursunuz.
  • Erken erişim programına katılan geliştiricilerin, yaptırım stratejilerini değiştirmeden önce hesap etkinliği sinyalini değerlendirmeleri ve değerlendirmelerinin sonucuyla ilgili geri bildirim ve bilgi vermeleri beklenir.

2. Adım: Play Integrity API hesap hareketi EAP'ye katılma isteği gönderin

Google Play Games İş Ortağı Programı'ndaki geliştiriciler, hesap etkinliği EAP'ye otomatik olarak erişebilir ve 3. adıma atlayabilir.

Diğer geliştiriciler, integrity-api-eap@google.com adresine aşağıdaki bilgileri içeren bir e-posta göndererek erken erişim programına katılmak istediklerini belirtebilir:

  • Paket adınız ve geliştirici hesabı kimliğiniz.
  • Hesap etkinliğiyle ilgili önerilen uygulamaları okuduğunuzu onaylayın.
  • Hesap etkinliğini nasıl değerlendirmeyi planladığınızı ve (bir fikriniz varsa) hesap etkinliğini nasıl kullanmayı beklediğinizi belirtin.
  • Hesap etkinliği erken erişim programına kabul edildikten sonra beklenen zaman çizelgeniz.

Şu anda yalnızca Google Play'de yüksek ölçekli performans eşiklerini karşılayan ve iyi durumdaki hesapları olan geliştiricileri kabul ediyoruz.

3. Adım: Google Play Console'daki Integrity API yanıtında hesap hareketlerini etkinleştirin

Erken erişim programına kabul edildikten sonra Play Console'daki Integrity API sayfasında Play Integrity API yanıtınıza hesap hareketlerini dahil etmenizi sağlayan yeni bir seçenek görürsünüz. Hazır olduğunuzda Play Console'da hesap etkinliğini etkinleştirin:

  1. Play Console'da oturum açın.
  2. Hesap hareketini kullanacak uygulamayı seçin.
  3. Soldaki menünün Sürüm bölümünde Uygulama bütünlüğü'ne gidin.
  4. Play Integrity API'nin yanındaki Ayarlar'ı tıklayın.
  5. Sayfanın Yanıtlar bölümünde, Hesap etkinliği'nin yanındaki Etkinleştir'i tıklayın.
  6. Açılan pencerede 'ı tıklayın.

Hesap hareketlerini etkinleştirdiğinizde veya devre dışı bıraktığınızda Play Console'da ayarladığınız Play Integrity API test yanıtları silinir ve bunları tekrar oluşturmanız gerekir.

4. Adım: Integrity API'yi uygulamanıza ve uygulamanızın arka uç sunucusuna entegre edin

Henüz yapmadıysanız dokümanları inceleyerek Play Integrity API'yi uygulamanıza ve uygulamanızın arka uç sunucusuna entegre edin.

5. Adım: Hesap etkinliğiyle çalışma

Etkinleştirildikten sonra Play Integrity API yükündeki accountDetails alanı, cihazdaki kullanıcı hesaplarıyla ilişkili etkinliği temsil eden yeni hesap hareketleri sinyalini içerir.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity aşağıdaki değerleri alabilir:

UNUSUAL
Cihazdaki kullanıcı hesaplarından en az biri için Google Play Store'da olağan dışı etkinlik var.
BİLİNMİYOR
Google Play, cihazdaki kullanıcı hesabı için yeterli mağaza etkinliğine sahip değil. Hesap yeni olabilir veya Google Play'de etkin olmayabilir.
TİPİK (TEMEL)
Google Play Store etkinliği, cihazdaki kullanıcı hesabı veya hesaplar için normaldir.
TİPİK (GÜÇLÜ)
Google Play Store etkinliği, cihazdaki kullanıcı hesabı veya hesaplar için tipik olup taklit edilmesi daha zor sinyaller içerir.
UNEVALUATED

Koşullardan biri karşılanmadığı için hesap etkinliği değerlendirilmemiştir.

Bu durum aşağıdakiler dahil olmak üzere çeşitli nedenlerden kaynaklanabilir:

  • Cihaz yeterince güvenilir değildir.
  • Cihazda uygulamanızın Google Play tarafından tanınmayan bir sürümü yüklüdür.
  • Kullanıcı, Google Play'de oturum açmamıştır.
  • Kullanıcının uygulamaya erişmek için gerekli lisansı yok.

Cihazdaki kullanıcı hesaplarında olağan dışı hesap etkinliği olup olmadığını kontrol etmek için aşağıdaki kod snippet'inde gösterildiği gibi accountActivity.activityLevel değerinin beklendiği gibi olduğunu doğrulayın:

Kotlin

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Java

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

6. adım: Hesap etkinliğiyle entegrasyonunuzu test edin

Mevcut Play Integrity API test özelliğini kullanarak Play Integrity API'deki hesap hareketi düzeylerinin uygulamanızla nasıl etkileşime geçtiğini değerlendirmek için testler oluşturabilirsiniz. Bu test özelliğini kullanmayla ilgili talimatları Play Console Yardım Merkezi'nde bulabilirsiniz.

7. Adım: Google Play'e erken erişim geri bildirimi gönderin

Erken erişim programındaki katılımcıların hesap etkinliği hakkında geri bildirimde bulunmasını isteriz. Geri bildirim göndermek için integrity-api-eap@google.com adresine e-posta gönderin. Geliştirici araştırma ekibimiz de röportajlar düzenlemek için sizinle iletişime geçecektir. Aşağıdakileri öğrenmek istiyoruz:

  • Hesap etkinliği düzeyi, uygulamanız veya oyununuzda bilinen kötüye kullanım amaçlı hesaplarla ne kadar doğru bir şekilde ilişkilendiriliyor?
  • Hesap etkinliğinin kitle dağılımı ve diğer Play Integrity API kararlarının beklentilerinizle eşleşip eşleşmediğini kontrol edin.
  • Hesap hareketleri ve diğer Play Integrity API kararlarıyla hangi kötüye kullanım sorunlarını çözmeye çalışıyorsunuz?
  • Hesap etkinliğine ve diğer Play Integrity API kararlarına göre hangi işlevi değiştirmeyi planlıyorsunuz?

Diğer Play bütünlüğü araçları

Kötüye kullanımla mücadele stratejiniz kapsamında aşağıdaki bütünlük koruma araçlarını da kullanabilirsiniz:

  • Güvenilmeyen cihazların Google Play'de uygulamanızı bulup yüklemesini engelleyin. Ancak kullanıcılar uygulamanızı başka yöntemlerle (ör. başka cihazdan yükleme) edinip yükleyebilir.
  • Kodunuzda değişiklik yapmadan yetkisiz değişiklikleri ve yeniden dağıtımı önlemek için Otomatik Bütünlük Koruması'nı kullanın. Şu anda bu özelliğe erişiminiz yoksa iş ortağı yöneticinizle iletişime geçin.
  • Google Play Hizmetleri'ni çalıştıran Android 11 ve sonraki sürümlerin yüklü olduğu cihazlara uygulamanızın bilinmeyen ve değiştirilmiş sürümleri yüklendiğinde bunlara karşı koruma sağlamak için paket adı koruması (erken erişim programı) isteğinde bulunun.