Play Integrity API：帳戶活動搶先體驗計畫 (EAP)

使用 Play 帳戶建立更有效且精細的反濫用策略 當活動發生時，Play Integrity API 中的新信號。帳戶活動為 根據商店活動的供應情形和數量，以及 裝置上的帳戶年齡。評估期間，即視為帳戶活動 將為目前使用者工作階段傳回，且未與使用者或 裝置 ID

什麼是 Play 帳戶活動？

Play Integrity API 提供一系列完整性信號，可協助應用程式和 偵測可能有風險的詐欺流量。開發人員 這項搶先體驗計畫可將帳戶活動新增至 API 回應 已包含裝置、應用程式和帳戶授權判定結果。如果 裝置、應用程式或授權判定結果有問題，則帳戶活動就會 而非評估。如果現有的判定結果沒有任何問題，則代表帳戶活動 會傳回一個等級這個等級是根據是否存在以及 儲存活動和帳戶帳戶的年齡。這個等級有助於 您的應用程式會區分可能的真實使用者和可能的虛假 流量 (例如用於詐欺的帳戶、系統自動使用的帳戶) 流量或裝置農場中的帳戶)。您的應用程式可以使用這個信號 並確保保護高價值或敏感動作

加入搶先體驗計畫 (EAP) 的應用程式可獲得以下其中一項 目前使用者工作階段的帳戶活動層級：

• UNEVALUATED：系統不會評估帳戶活動，因為裝置未符合以下條件 或使用者沒有 Play 應用程式授權。
• UNUSUAL：至少有一位使用者的 Google Play 商店活動不尋常 帳戶。Google Play 建議檢查網址是否真實 內容。
• UNKNOWN：使用者沒有足夠的 Google Play 商店活動 帳戶。這個帳戶可能是新帳戶，或是以下日期沒有活動 Google Play。
• TYPICAL (BASIC)：使用者帳戶的 Google Play 商店活動正常 或裝置上的帳戶
• TYPICAL (STRONG)：使用者帳戶的 Google Play 商店活動正常 取得容易複製的信號

Play Integrity API 帳戶活動的建議做法

使用帳戶活動做為反濫用策略的一部分

將帳戶活動與其他信號搭配使用時，成效最佳 整體反濫用策略，而非唯一的反濫用機制。使用這份草稿 信號、Play Integrity API 會搭配其他適當用途 安全性最佳做法。

收集遙測資訊及瞭解目標對象，再採取行動

根據帳戶活動或其他 Google Play 變更功能前的注意事項 Integrity API 判定結果，不強制執行 API 也能瞭解 與現有觀眾的喜好知道 目前的安裝數傳回 ，您可以預估 您計劃的違規處置，並據以調整反濫用策略。

存取高價值或敏感功能時，可能有風險的流量

找出應用程式或遊戲中的高價值或敏感動作，以便採用 Play Integrity API，而不是直接拒絕應用程式或遊戲的存取權。時間 並驗證有風險的流量，再允許執行高價值操作。 舉例來說，當帳戶活動層級為 UNUSUAL 時，您可能需要 第二種驗證機制 以及防護

規劃使用者支援方案

請盡可能為使用者提供實用的錯誤訊息，並告知使用者 例如重試、啟用網際網路連線或 確認 Google Play 商店應用程式已是最新版本。帳戶活動 Google Play 會定期更新評估作業。新增商店活動 在定期更新期間自動變更使用者等級。

遵守 Play Integrity API 的現有建議

除了上述做法外，請參閱 Play Integrity API 的安全性注意事項。

搶先體驗 Play Integrity API 帳戶活動

請按照下列步驟開始使用帳戶活動。

步驟 1：詳閱這些重要事項

• 帳戶活動目前還在開發中，因此可能會有變動。
• 帳戶活動仍為機密內容。不要提供帳戶相關資訊 與使用者有關的活動或帳戶活動層級。
• 使用帳戶活動，即表示您同意 Google Play 開發人員的條款 發行方式 協議 和《Play Integrity API 服務條款》。
• 參與搶先體驗計畫的開發人員應評估 帳戶活動信號，並提供有關 未修正違規處置前向 Google Play 顯示的結果 策略。

步驟 2：要求加入 Play Integrity API 帳戶活動搶先體驗計畫

Google Play 遊戲合作夥伴計畫的開發人員會自動獲得 存取帳戶活動搶先體驗計畫，可直接跳到步驟 3。

其他開發人員如要加入搶先體驗計畫，可以使用下列步驟： 請傳送電子郵件至 integrity-api-eap@google.com，並附上以下資訊：

• 您的套件名稱和開發人員帳戶 ID。
• 確認您已詳閱帳戶建議做法 活動。
• 您打算如何評估帳戶活動 (如果已有 。
• 提早接受帳戶活動後的預期時程 存取計畫。

目前我們只接受具備大規模效能的開發人員 帳戶記錄良好，進而達到門檻

步驟 3：透過 Google Play 管理中心在 Integrity API 回應中開啟帳戶活動

獲準加入搶先體驗計畫後，您會看到 Play 管理中心 Integrity API 頁面上的選項，用於納入帳戶活動 也就是 Play Integrity API 回應中的值。準備就緒後，請啟用帳戶 Play 管理中心的活動：

1. 登入 Play 管理中心
2. 選取要使用帳戶活動的應用程式。
3. 在左選單的「版本」部分，前往「應用程式完整性」。
4. 按一下「Play Integrity API」旁邊的「設定」。
5. 在頁面的「回應」部分，按一下「帳戶活動」旁邊的「開啟」。
6. 在顯示的視窗中按一下Turn on「開啟」。

開啟或關閉帳戶活動時，任何 Play Integrity API 測試 您設定的回應 。

步驟 4：將 Integrity API 整合到應用程式和應用程式的後端伺服器中

如果您尚未與 Google Play 整合，請按照說明文件整合 Google Play 導入 Integrity API 到您的應用程式和應用程式的 後端伺服器

步驟 5：處理帳戶活動

啟用後，Play Integrity API 中的 accountDetails 欄位 酬載會包含 新的帳戶活動信號代表與 裝置上的使用者帳戶。

accountDetails: {
  // Represents the licensing status of the user session.
  // This field can be LICENSED, UNLICENSED, or UNEVALUATED.
  appLicensingVerdict: "LICENSED"

  // Represents the activity level associated with the user accounts on
  // the device of the user session.
  accountActivity: {
     // This field can be UNEVALUATED, UNUSUAL,
     // UNKNOWN, TYPICAL_BASIC, TYPICAL_STRONG
     activityLevel: "UNUSUAL"
  }
}

accountActivity 的值可能如下：

UNUSUAL

裝置上至少有一個使用者帳戶的 Google Play 商店活動不尋常。

UNKNOWN

Google Play 針對使用者帳戶沒有足夠的商店活動 裝置。這個帳戶可能是新帳戶，或是 Google Play 上沒有活動。

正常 (基本)

Google Play 商店活動通常是使用者帳戶或 裝置。

正常 (強)

Google Play 商店活動通常是使用者帳戶或 取得難以複製的信號

UNEVALUATED

由於未符合必要要求，系統不會評估帳戶活動。

這可能由許多因素造成，包括：

• 裝置可信度不足。
• Google Play 無法辨識裝置上安裝的應用程式版本。
• 使用者未登入 Google Play。
• 使用者沒有存取應用程式所需的授權。

如要檢查裝置上的使用者帳戶是否有異常的帳戶活動， 驗證 accountActivity.activityLevel 是否符合預期，如 下列程式碼片段：

val requestDetails = JSONObject(payload).getJSONObject("accountDetails")
val accountActivity = requestDetails.getJSONObject("accountActivity")
val activityLevel = accountActivity.getString("activityLevel")

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

JSONObject requestDetails =
    new JSONObject(payload).getJSONObject("accountDetails");
JSONObject accountActivity =
    new JSONObject(requestDetails).getJSONObject("accountActivity");
String activityLevel = accountActivity.getString("activityLevel");

if (activityLevel == "UNUSUAL") {
    // One of the accounts is UNUSUAL! Be careful.
}

步驟 6：測試與帳戶活動的整合

您可以建立測試，從 Play 評估帳戶活動程度 Integrity API 會透過可用的 Play Integrity API 測試與您的應用程式互動 而不是每個特徵的分數如需這項測試功能的操作說明，請前往 Google Play 控制台說明 中心點。

步驟 7：向 Google Play 提供搶先體驗意見回饋

我們希望搶先體驗計畫的參與者能對以下內容提供意見 帳戶活動如要提供意見回饋，請傳送電子郵件至 integrity-api-eap@google.com。我們的 開發人員研究團隊也會與您聯絡，安排訪談事宜。我們 有興趣瞭解下列主題：

• 帳戶活動層級與已知濫用情況的相關準確性如何 自己的應用程式或遊戲帳戶呢？
• 帳戶活動的目標對象分佈情形和其他 Play Integrity API 判定結果是否符合您的期望？
• 您正試著透過帳戶活動和其他資訊解決哪些濫用問題 要取得 Play Integrity API 判定結果嗎？
• 您打算根據帳戶活動和 是否會影響其他 Play Integrity API 判定結果？

其他 Play 完整性工具

建議您考慮使用其他完整性防護工具進行反濫用 策略：

• 排除不可信任的網站 裝置 讓使用者能夠在 Google Play 找到並安裝您的應用程式。這不 防止使用者透過其他方式 (例如 側載)。
• 使用自動完整性 安全防護 防止未經授權的修改與轉散佈行為； 程式碼。如果您目前無法使用這項功能，請與 合作夥伴經理。
• 要求「套件名稱防護服務」(搶先體驗計畫) 防範不明和經過修改的應用程式版本 安裝在搭載 Google Play 服務的 Android 11 以上版本裝置。

相關內容

• 如要進一步瞭解 Play Integrity API，請參閱： Android 開發人員網站 (說明文件)
• 運用 Play Integrity 提升遊戲安全性 API (影片)
• 利用 Play Integrity 的 Nonce 欄位強化應用程式的安全性 API (網誌文章)