Play Integrity API הוא כלי למניעת ניצול לרעה שמיועד למפתחי Android. הוא עוזר לזהות מכשירים מסוכנים ואיומי אבטחה. ההדגמה הזו, שמשתמשת באפליקציה לדוגמה למטרות בדיקה, מספקת חוויית למידה מודרכת באמצעות תרחישי שימוש סטנדרטיים ב-Play Integrity API.
אחרי שיוצרים את אפליקציית Android לדוגמה ואת שרת Node, מקשרים פרויקט Google Cloud לאפליקציה ב-Play Console כדי להשלים את ההגדרה הראשונית.
בהדגמה מוצגת הגדרת התכונות של כל מיני-אפליקציה. לדוגמה:
- הגנה על משאבים בצד השרת (לדוגמה, מיקרו-אפליקציה להזרמת נתונים): הדוגמה הזו מראה איך להטמיע מסירת תוכן או תגובות מדורגות על סמך פסקי הדין והמאפיינים של זיהוי המכשיר.
- הגנה מפני ניצול לרעה בצד הלקוח (לדוגמה, מיני-אפליקציה של משחק): ההגנה מתמקדת בסביבת הפעלה של סשן. היא מתבססת על קביעות של Play Integrity API כדי לזהות אפליקציות זדוניות במכשיר, וגם אפליקציות לא מורשות שמקליטות את המסך או שולטות במכשיר במהלך סשן מוגן.
- הגנה על פעולות בעלות ערך גבוה (לדוגמה, מיני-אפליקציה של בנק): במקרה הזה מוצגות דרכים להגן על אינטראקציות קריטיות של משתמשים באמצעות אכיפה של שלמות המכשיר וקישור תוכן.
דרישות מוקדמות
לפני שמתחילים, חשוב להכיר את הנקודות הבאות:
- סקירה כללית של API: מהו Play Integrity API ואיך הוא תומך בסביבה בטוחה למפתחים ולמשתמשים שלהם.
- מונחי מפתח ומושגים שקשורים לבטיחות נתונים.
הורדת האפליקציה לדוגמה
פרסמנו דוגמה לתכונה בקוד פתוח בחשבון הרשמי של Android ב-GitHub. בדוגמה הזו מוצגת הטמעה של זרימת הבקשות הרגילה של Play Integrity API, בהתאם לשיטות המומלצות.
הדוגמה כוללת:
- הטמעה קנונית של הפניה מקצה לקצה לבקשות רגילות של Play Integrity API.
- שיטות מומלצות להכנת טוקנים ולקישור תוכן.
- שימוש בתכונות אופציונליות: שלמות חזקה, מאפייני מכשיר ופרטי סביבה (לדוגמה, סיכון לגישה לאפליקציה וקביעת התקינות של Play Protect).
- דוגמאות מעשיות לטיפול בתגובות מה-API, כולל קודי שגיאה (עם אסטרטגיות לניסיון חוזר) והפעלת תיבות דו-שיח לתיקון באפליקציה.