API Tính toàn vẹn của Play: Chương trình tiếp cận sớm hoạt động tài khoản

Tạo một chiến lược chống hành vi sử dụng sai mục đích hiệu quả và chi tiết hơn thông qua hoạt động của tài khoản Google Play, một tín hiệu mới trong API Tính toàn vẹn của Play. Hoạt động tài khoản được biểu thị theo các cấp dựa trên sự hiện diện và số lượng hoạt động trong cửa hàng, cũng như tuổi của các tài khoản trên thiết bị. Khi được đánh giá, cấp hoạt động tài khoản sẽ được trả về cho phiên người dùng hiện tại và không liên kết với giá trị nhận dạng của người dùng hay thiết bị.

Hoạt động của tài khoản Google Play là gì?

API Tính toàn vẹn của Play cung cấp một tập hợp tín hiệu về tính toàn vẹn để giúp các nhà phát triển ứng dụng và trò chơi phát hiện lưu lượng truy cập rủi ro và gian lận tiềm ẩn. Nhà phát triển tham gia chương trình tiếp cận sớm này có thể thêm hoạt động tài khoản vào phản hồi tạo bởi API của mình. Phản hồi này đã chứa kết quả về thiết bị, ứng dụng và giấy phép tài khoản. Nếu kết quả về thiết bị, ứng dụng hoặc giấy phép có vấn đề, thì hoạt động tài khoản sẽ không được đánh giá. Nếu kết quả hiện tại không có vấn đề thì hoạt động tài khoản sẽ trả về một cấp. Cấp được xác định dựa trên sự hiện diện và số lượng hoạt động trong cửa hàng cũng như tuổi của các tài khoản trên thiết bị. Thông tin về cấp sẽ giúp ứng dụng của bạn phân biệt giữa lưu lượng truy cập có khả năng là người dùng thật với lưu lượng truy cập có khả năng là giả mạo, chẳng hạn như tài khoản dùng để gian lận, tài khoản do lưu lượng truy cập tự động sử dụng hoặc tài khoản được dùng trong device farm (một loại gian lận quảng cáo trên thiết bị di động). Ứng dụng có thể dùng tín hiệu này, cùng với các tín hiệu khác, khi bảo vệ những hành động có giá trị cao hoặc nhạy cảm.

Những ứng dụng tham gia chương trình tiếp cận sớm (EAP) có thể nhận được một trong các cấp hoạt động tài khoản sau đây cho phiên người dùng hiện tại:

• UNEVALUATED: Hoạt động tài khoản không được đánh giá vì thiết bị không đáng tin cậy hoặc người dùng không có giấy phép của ứng dụng Play.
• UNUSUAL: Ít nhất một tài khoản người dùng trên thiết bị có hoạt động bất thường trong Cửa hàng Google Play. Bạn nên kiểm tra để đảm bảo đây là người dùng thực.
• UNKNOWN: Tài khoản người dùng trên thiết bị không có đủ hoạt động trong Cửa hàng Google Play. Tài khoản đó có thể là tài khoản mới hoặc có thể thiếu hoạt động trên Google Play.
• TYPICAL (BASIC): Tài khoản người dùng hoặc các tài khoản trên thiết bị có hoạt động bình thường trong Cửa hàng Google Play.
• TYPICAL (STRONG): Tài khoản người dùng hoặc các tài khoản trên thiết bị có hoạt động bình thường trong Cửa hàng Google Play, với những tín hiệu khó sao chép hơn.

Các phương pháp đề xuất cho hoạt động tài khoản trong API Tính toàn vẹn của Play

Sử dụng hoạt động tài khoản trong chiến lược chống hành vi sử dụng sai mục đích

Tín hiệu từ hoạt động tài khoản hữu ích nhất khi được dùng cùng các tín hiệu khác trong một chiến lược chống hành vi sử dụng sai mục đích, tín hiệu này không phải là cơ chế chống hành vi sử dụng sai mục đích duy nhất. Hãy sử dụng tín hiệu này và API Tính toàn vẹn của Play cùng các phương pháp bảo mật hay nhất thích hợp với ứng dụng của bạn.

Thu thập dữ liệu đo từ xa và tìm hiểu đối tượng của bạn trước khi hành động

Trước khi bạn thay đổi chức năng dựa trên hoạt động tài khoản hoặc các kết quả khác từ API Tính toàn vẹn của Play, hãy thử triển khai API này để thu thập số liệu và hiểu được tình huống đang diễn ra với đối tượng hiện tại của bạn. Sau khi biết các cấp mà số lượt cài đặt hiện tại của mình trả về, bạn có thể ước tính mức độ tác động của các biện pháp thực thi mà mình đang dự định sử dụng rồi điều chỉnh chiến lược chống hành vi sử dụng sai mục đích cho phù hợp.

Thử thách lưu lượng truy cập rủi ro trước khi cho phép sử dụng các tính năng nhạy cảm hoặc có giá trị cao

Xác định các hành động có giá trị cao hay nhạy cảm trong ứng dụng hoặc trò chơi để bảo vệ bằng API Tính toàn vẹn của Play, thay vì từ chối quyền truy cập vào ứng dụng hoặc trò chơi đó ngay lập tức. Khi có thể, hãy thử thách lưu lượng truy cập rủi ro trước khi cho phép các hành động có giá trị cao tiếp tục. Ví dụ: khi cấp hoạt động tài khoản là UNUSUAL, bạn có thể yêu cầu một cơ chế xác minh thứ hai trước khi người dùng có thể hoàn tất hành động bạn đang bảo vệ.

Lập kế hoạch hỗ trợ người dùng

Khi có thể, hãy cung cấp thông báo lỗi hữu ích cho người dùng và cho họ biết những việc có thể làm để khắc phục vấn đề, chẳng hạn như thử lại, bật kết nối Internet hoặc kiểm tra để đảm bảo rằng ứng dụng Cửa hàng Google Play đã được cập nhật. Google Play sẽ cập nhật định kỳ nội dung đánh giá hoạt động tài khoản. Các hoạt động mới trên cửa hàng có thể tự động thay đổi cấp của người dùng trong các bản cập nhật định kỳ này.

Làm theo các nội dung đề xuất hiện có cho API Tính toàn vẹn của Play

Ngoài những phương pháp trước đó, hãy đọc các điểm cần cân nhắc về bảo mật dành cho API Tính toàn vẹn của Play.

Sớm tiếp cận hoạt động tài khoản trong API Tính toàn vẹn của Play

Làm theo các bước sau đây để bắt đầu sử dụng thông tin về hoạt động tài khoản.

Bước 1: Xem xét những điểm quan trọng cần cân nhắc sau đây

• Hoạt động tài khoản đang trong quá trình phát triển và có thể thay đổi.
• Hoạt động tài khoản vẫn còn được bảo mật. Không chia sẻ thông tin về hoạt động tài khoản hoặc cấp hoạt động tài khoản với người dùng cuối.
• Bằng việc sử dụng hoạt động tài khoản, bạn đồng ý với các điều khoản trong Thoả thuận phân phối dành cho nhà phát triển trên Google Play và Điều khoản dịch vụ của API Tính toàn vẹn của Play.
• Nhà phát triển tham gia chương trình tiếp cận sớm cần phải đánh giá tín hiệu hoạt động tài khoản và gửi ý kiến phản hồi cũng như thông tin về kết quả đánh giá của họ cho Google Play trước khi thay đổi chiến lược thực thi.

Bước 2: Yêu cầu tham gia chương trình tiếp cận sớm hoạt động tài khoản trong API Tính toàn vẹn của Play

Nhà phát triển trong Chương trình Đối tác của Google Play cho Trò chơi sẽ tự động có quyền tham gia vào chương trình tiếp cận sớm hoạt động tài khoản và có thể chuyển sang bước 3.

Các nhà phát triển khác có thể bày tỏ sự quan tâm đến việc tham gia chương trình tiếp cận sớm bằng cách gửi email đến integrity-api-eap@google.com kèm theo những thông tin sau đây:

• Tên gói và mã tài khoản nhà phát triển của bạn.
• Xác nhận rằng bạn đã đọc các phương pháp đề xuất cho hoạt động tài khoản.
• Cách bạn dự định đánh giá hoạt động tài khoản và cách bạn dự kiến sử dụng hoạt động tài khoản (nếu đã có ý tưởng).
• Tiến trình dự kiến sau khi bạn được chấp nhận tham gia chương trình tiếp cận sớm hoạt động tài khoản.

Hiện tại, chúng tôi chỉ chấp nhận những nhà phát triển đáp ứng ngưỡng hiệu suất trên quy mô lớn trên Google Play với những tài khoản có trạng thái tốt.

Bước 3: Bật hoạt động tài khoản trong phản hồi của API Tính toàn vẹn qua Google Play Console

Sau khi được chấp nhận tham gia chương trình tiếp cận sớm, bạn sẽ thấy một tuỳ chọn mới trên trang API Tính toàn vẹn trong Play Console để đưa hoạt động tài khoản vào phản hồi của API Tính toàn vẹn của Play. Khi bạn đã sẵn sàng, hãy bật hoạt động tài khoản trong Play Console bằng cách làm như sau:

1. Đăng nhập vào Play Console.
2. Chọn ứng dụng sẽ dùng hoạt động tài khoản.
3. Trong phần Bản phát hành của trình đơn bên trái, hãy chuyển đến phần Tính toàn vẹn của ứng dụng.
4. Bên cạnh API Tính toàn vẹn của Play, hãy nhấp vào Cài đặt.
5. Trong phần Phản hồi của trang đó, bên cạnh Hoạt động tài khoản, hãy nhấp vào Bật.
6. Trong cửa sổ xuất hiện, hãy nhấp vào Bật.

Khi bạn bật hoặc tắt hoạt động tài khoản, mọi phản hồi kiểm thử API Tính toàn vẹn của Play mà bạn đã thiết lập trong Play Console sẽ bị xoá và bạn sẽ cần tạo lại các phản hồi đó.

Bước 4: Tích hợp API Tính toàn vẹn trong ứng dụng và máy chủ phụ trợ của ứng dụng

Làm theo tài liệu tích hợp API Tính toàn vẹn của Play vào ứng dụng và máy chủ phụ trợ của ứng dụng (nếu bạn chưa thực hiện).

Bước 5: Làm việc với hoạt động tài khoản

Sau khi bật, trường accountDetails trong trọng tải API Tính toàn vẹn của Play sẽ chứa tín hiệu hoạt động mới của tài khoản đại diện cho hoạt động liên kết với các tài khoản người dùng trên thiết bị.

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity có thể có các giá trị sau:

UNUSUAL (BẤT THƯỜNG)

Ít nhất một tài khoản người dùng trên thiết bị có hoạt động bất thường trong Cửa hàng Google Play.

UNKNOWN (KHÔNG XÁC ĐỊNH)

Tài khoản người dùng trên thiết bị không có đủ hoạt động trong Cửa hàng Google Play. Tài khoản đó có thể là tài khoản mới hoặc có thể thiếu hoạt động trên Google Play.

TYPICAL (BASIC) (BÌNH THƯỜNG (Ở MỨC CƠ BẢN))

Tài khoản người dùng hoặc các tài khoản trên thiết bị có hoạt động bình thường trong Cửa hàng Google Play.

TYPICAL (STRONG) (BÌNH THƯỜNG (Ở MỨC CAO))

Tài khoản người dùng hoặc các tài khoản trên thiết bị có hoạt động bình thường trong Cửa hàng Google Play, với những tín hiệu khó sao chép hơn.

UNEVALUATED (KHÔNG ĐƯỢC ĐÁNH GIÁ)

Hoạt động tài khoản không được đánh giá vì thiếu một yêu cầu cần thiết.

Điều này có thể xảy ra vì một vài lý do như:

• Thiết bị không đủ tin cậy.
• Google Play không xác định được phiên bản ứng dụng của bạn trên thiết bị đó.
• Người dùng chưa đăng nhập vào Google Play.
• Người dùng không có giấy phép cần thiết để truy cập vào ứng dụng này.

Để kiểm tra xem tài khoản người dùng trên thiết bị có hoạt động tài khoản bất thường hay không, hãy xác minh accountActivity.activityLevel theo dự kiến như trong đoạn mã sau:

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

Bước 6: Kiểm tra quá trình tích hợp với hoạt động tài khoản

Bạn có thể tạo các kiểm thử để đánh giá cách cấp hoạt động tài khoản trong API Tính toàn vẹn của Play tương tác với ứng dụng của mình bằng cách dùng tính năng kiểm thử API Tính toàn vẹn của Play. Bạn có thể xem hướng dẫn sử dụng tính năng kiểm thử này trong trung tâm trợ giúp của Play Console.

Bước 7: Gửi ý kiến phản hồi về quyền truy cập sớm cho Google Play

Chúng tôi muốn những người tham gia chương trình tiếp cận sớm cung cấp ý kiến phản hồi về hoạt động tài khoản. Hãy gửi ý kiến phản hồi đến địa chỉ email integrity-api-eap@google.com. Nhóm nghiên cứu dành cho nhà phát triển của chúng tôi cũng sẽ liên hệ để sắp xếp các cuộc phỏng vấn. Chúng tôi muốn tìm hiểu về những nội dung sau:

• Cấp hoạt động tài khoản tương quan chính xác với các tài khoản vi phạm đã biết cho ứng dụng hoặc trò chơi của bạn như thế nào?
• Việc phân bổ đối tượng hoạt động tài khoản và các kết quả khác về API Tính toàn vẹn của Play có đáp ứng kỳ vọng của bạn không?
• Bạn đang cố gắng giải quyết vấn đề vi phạm nào với hoạt động tài khoản và các kết quả khác về API Tính toàn vẹn của Play?
• Bạn dự định thay đổi chức năng nào dựa trên hoạt động của tài khoản và các kết quả khác của API Tính toàn vẹn của Play?

Các công cụ khác liên quan đến tính toàn vẹn của Play

Cân nhắc việc sử dụng các công cụ bảo vệ tính toàn vẹn khác sau đây trong chiến lược chống hành vi sử dụng sai mục đích:

• Loại trừ những thiết bị không đáng tin cậy khỏi danh sách thiết bị có thể tìm và cài đặt ứng dụng của bạn trên Google Play. Điều này không ngăn người dùng tải và cài đặt ứng dụng của bạn thông qua các phương thức khác (chẳng hạn như cài đặt không qua cửa hàng ứng dụng).
• Sử dụng tính năng tự động bảo vệ tính toàn vẹn để ngăn chặn hành vi sửa đổi và phân phối lại trái phép mà không cần sửa đổi mã của bạn. Nếu bạn hiện không có quyền sử dụng tính năng này, hãy liên hệ với người quản lý đối tác.
• Yêu cầu bảo vệ tên gói (chương trình tiếp cận sớm) để ngăn chặn các phiên bản không xác định và đã sửa đổi của ứng dụng, bất cứ khi nào các phiên bản đó được cài đặt trên các thiết bị Android 11 trở lên chạy Dịch vụ Google Play.

Nội dung liên quan

• Tìm hiểu thêm về API Tính toàn vẹn của Play trên trang web dành cho nhà phát triển Android (tài liệu)
• Tăng cường bảo mật cho trò chơi bằng API Tính toàn vẹn của Play (video)
• Tăng cường bảo mật cho ứng dụng bằng trường số chỉ dùng một lần của API Tính toàn vẹn của Play (bài đăng trên blog)