Die Play Integrity API ist ein Tool gegen Missbrauch für Android-Entwickler, mit dem sie riskante Geräte und Sicherheitsbedrohungen erkennen können. In dieser Demo, in der eine Beispiel-App für Testzwecke verwendet wird, werden die Standardanwendungsfälle für die Play Integrity API erläutert.
Nachdem Sie die Android-Beispiel-App und den Node-Server erstellt haben, verknüpfen Sie ein Google Cloud-Projekt mit der App in der Play Console, um die Ersteinrichtung abzuschließen.
In der Demo wird dann die Konfiguration der Funktionen für jede Mikro-App gezeigt. Beispiel:
- Serverseitige Ressourcen schützen (z. B. eine Streaming-Mikro-App): Hier wird gezeigt, wie Sie die mehrstufige Bereitstellung von Inhalten oder Antworten basierend auf den Ergebnissen und Attributen der Geräteerkennung implementieren.
- Vor clientseitiger Ausnutzung schützen (z. B. eine Spiel-Mikro-App): Hier geht es darum, eine Sitzungsumgebung zu schützen, indem Ergebnisse der Play Integrity API verwendet werden, um schädliche Apps auf dem Gerät sowie nicht autorisierte Apps zu erkennen, die während einer geschützten Sitzung Screenshots erstellen oder die Kontrolle über das Gerät übernehmen.
- Aktionen mit hohem Wert schützen (z. B. eine Bank-Mikro-App): Hier wird gezeigt, wie Sie kritische Nutzerinteraktionen schützen, indem Sie die Geräteintegrität und die Inhaltsbindung erzwingen.
Vorbereitung
Bevor Sie beginnen, sollten Sie mit den folgenden Themen vertraut sein:
- API-Übersicht: Was die Play Integrity API ist und wie sie eine sichere Umgebung für Entwickler und ihre Nutzer unterstützt.
- Wichtige Begriffe und Konzepte zur Datensicherheit.
Beispielanwendung herunterladen
Wir haben ein Open-Source-Beispiel für eine Funktion im offiziellen Android-GitHub-Konto veröffentlicht. Dieses Beispiel bietet eine Best-Practice-Implementierung des Standardanfrageflusses der Play Integrity API.
Beispielanwendung herunterladen
Das Beispiel enthält:
- Eine kanonische End-to-End-Referenzimplementierung für Standardanfragen der Play Integrity API.
- Best Practices für die Tokenvorbereitung und die Inhaltsbindung.
- Verwendung optionaler Funktionen: starke Integrität, Geräteattribute und Umgebungsdetails (z. B. Risiko von App-Zugriffen und Play Protect-Ergebnis).
- Umsetzbare Beispiele für die Verarbeitung von API-Antworten, einschließlich Fehlercodes (mit Wiederholungsstrategien) und Auslösen von In-App-Dialogfeldern zur Fehlerbehebung.