Play Integrity API เป็นเครื่องมือต่อต้านการละเมิดสำหรับนักพัฒนาแอป Android เพื่อตรวจหาอุปกรณ์ที่มีความเสี่ยงและภัยคุกคามด้านความปลอดภัย การสาธิตนี้ใช้แอปตัวอย่างเพื่อวัตถุประสงค์ในการทดสอบ และมอบประสบการณ์การเรียนรู้แบบมีคำแนะนำผ่านกรณีการใช้งานมาตรฐานสำหรับ Play Integrity API
หลังจากสร้างแอป Android ตัวอย่างและเซิร์ฟเวอร์โหนดแล้ว ให้ลิงก์โปรเจ็กต์ Google Cloud กับแอปใน Play Console เพื่อตั้งค่าเริ่มต้นให้เสร็จสมบูรณ์
จากนั้นการสาธิตจะแสดงการกำหนดค่าฟีเจอร์สำหรับแต่ละไมโครแอป เช่น
- การปกป้องทรัพยากรฝั่งเซิร์ฟเวอร์ (เช่น ไมโครแอปสำหรับการสตรีม): แสดงวิธีใช้การส่งเนื้อหาหรือการตอบกลับแบบแบ่งระดับตามผลการตัดสินและการระบุแอตทริบิวต์ของอุปกรณ์
- การป้องกันการใช้ประโยชน์จากฝั่งไคลเอ็นต์ (เช่น ไมโครแอปเกม): มุ่งเน้นที่การปกป้องสภาพแวดล้อมของเซสชันโดยใช้ผลการตัดสินของ Play Integrity API เพื่อตรวจหาแอปที่เป็นอันตรายในอุปกรณ์ รวมถึงแอปที่ไม่ได้รับอนุญาตซึ่งบันทึกหน้าจอหรือควบคุมอุปกรณ์ระหว่างเซสชันที่ได้รับการปกป้อง
- การรักษาความปลอดภัยของการดำเนินการที่มีมูลค่าสูง (เช่น ไมโครแอปของธนาคาร): แสดงวิธีปกป้องการโต้ตอบที่สำคัญของผู้ใช้โดยบังคับใช้ความสมบูรณ์ของอุปกรณ์และการผูกเนื้อหา
สิ่งที่ต้องมีก่อน
ก่อนเริ่มต้น คุณควรทำความคุ้นเคยกับสิ่งต่อไปนี้
- ภาพรวมของ API: Play Integrity API คืออะไร และ API นี้สนับสนุน สภาพแวดล้อมที่ปลอดภัยสำหรับนักพัฒนาแอปและผู้ใช้ของนักพัฒนาแอปอย่างไร
- คำศัพท์สำคัญ และแนวคิดเรื่องความปลอดภัยของข้อมูล
ดาวน์โหลดแอปตัวอย่าง
เราได้เผยแพร่ตัวอย่างฟีเจอร์แบบโอเพนซอร์สในบัญชี GitHub อย่างเป็นทางการของ Android ตัวอย่างนี้แสดงการใช้งานตามแนวทางปฏิบัติแนะนำของโฟลว์คำขอมาตรฐาน Play Integrity API
ตัวอย่างประกอบด้วยสิ่งต่อไปนี้
- การใช้งานอ้างอิงแบบครบวงจรที่สมบูรณ์สำหรับคำขอมาตรฐาน Play Integrity API
- แนวทางปฏิบัติแนะนำสำหรับการเตรียมโทเค็นและการผูกเนื้อหา
- การใช้ฟีเจอร์ที่ไม่บังคับ ได้แก่ ความสมบูรณ์ระดับสูง แอตทริบิวต์ของอุปกรณ์ และรายละเอียดสภาพแวดล้อม (เช่น ความเสี่ยงในการเข้าถึงแอปและผลการตัดสินของ Play Protect)
- ตัวอย่างที่นำไปใช้ได้จริงสำหรับการจัดการการตอบกลับจาก API ซึ่งรวมถึงรหัสข้อผิดพลาด (พร้อมกลยุทธ์การลองใหม่) และการทริกเกอร์กล่องโต้ตอบการแก้ไขในแอป