Play Integrity API เป็นเครื่องมือต่อต้านการละเมิดสำหรับนักพัฒนาแอป Android เพื่อตรวจหาอุปกรณ์ที่มีความเสี่ยง และภัยคุกคามด้านความปลอดภัย การสาธิตนี้ซึ่งใช้แอปตัวอย่างเพื่อวัตถุประสงค์ในการทดสอบ จะมอบประสบการณ์การเรียนรู้แบบมีคำแนะนำผ่านกรณีการใช้งานมาตรฐานสำหรับ Play Integrity API
หลังจากสร้างแอป Android ตัวอย่างและเซิร์ฟเวอร์โหนดแล้ว ให้ลิงก์โปรเจ็กต์ Google Cloud กับแอปใน Play Console เพื่อตั้งค่าเริ่มต้นให้เสร็จสมบูรณ์
จากนั้นการสาธิตจะแสดงการกำหนดค่าฟีเจอร์สำหรับแต่ละไมโครแอป เช่น
- การปกป้องทรัพยากรฝั่งเซิร์ฟเวอร์ (เช่น Micro-App สำหรับการสตรีม): แสดงวิธีใช้การนำส่งหรือการตอบกลับเนื้อหาแบบแบ่งระดับ ตามการตัดสินและแอตทริบิวต์การจดจำอุปกรณ์
- การป้องกันการแสวงหาประโยชน์ฝั่งไคลเอ็นต์ (เช่น เกม มินิแอป): มุ่งเน้นการปกป้องสภาพแวดล้อมของเซสชันโดยใช้ผลการตัดสินของ PIA เพื่อตรวจหาแอปที่เป็นอันตรายในอุปกรณ์ รวมถึงแอปที่ไม่ได้รับอนุญาต ที่จับภาพหน้าจอหรือควบคุมอุปกรณ์ในระหว่างเซสชันที่มีการป้องกัน
- การรักษาความปลอดภัยให้กับการดำเนินการที่มีมูลค่าสูง (เช่น ไมโครแอปของธนาคาร): กรณีนี้ แสดงให้เห็นวิธีปกป้องการโต้ตอบที่สำคัญของผู้ใช้ด้วยการบังคับใช้ความสมบูรณ์ของอุปกรณ์ และการเชื่อมโยงเนื้อหา
สิ่งที่ต้องมีก่อน
ก่อนเริ่มต้น คุณควรทำความคุ้นเคยกับสิ่งต่อไปนี้
- ภาพรวม API: Play Integrity API คืออะไร และช่วยสนับสนุนสภาพแวดล้อมที่ปลอดภัยสำหรับนักพัฒนาแอปและผู้ใช้ได้อย่างไร
- คำสำคัญและแนวคิดด้านความปลอดภัยของข้อมูล
ดาวน์โหลดแอปตัวอย่าง
เราได้เผยแพร่ตัวอย่างฟีเจอร์โอเพนซอร์สไปยังบัญชี GitHub อย่างเป็นทางการของ Android ตัวอย่างนี้แสดงการใช้งานแนวทางปฏิบัติแนะนำของขั้นตอนการส่งคำขอมาตรฐานของ Play Integrity API
ตัวอย่างประกอบด้วย
- การใช้งานอ้างอิงแบบต้นทางถึงปลายทางที่ชัดเจนสำหรับคำขอมาตรฐานของ Play Integrity API
- แนวทางปฏิบัติแนะนำสำหรับการเตรียมโทเค็นและการเชื่อมโยงเนื้อหา
- การใช้ฟีเจอร์ที่ไม่บังคับ: ความสมบูรณ์ที่รัดกุม แอตทริบิวต์ของอุปกรณ์ และ รายละเอียดสภาพแวดล้อม (เช่น ความเสี่ยงในการเข้าถึงแอปและผลการวินิจฉัยของ Play Protect)
- ตัวอย่างที่นำไปใช้ได้จริงสำหรับการจัดการการตอบกลับของ API รวมถึงรหัสข้อผิดพลาด (พร้อม กลยุทธ์การลองใหม่) และการทริกเกอร์กล่องโต้ตอบการแก้ไขในแอป