Play Integrity API'ye genel bakış

Play Integrity API, etkileşimlerin ve sunucu isteklerinin doğruluğunu kontrol etmenize yardımcı olur. orijinal bir Android cihazda çalışan orijinal uygulama ikili programınızdan gelir. Ölçüt yetkisiz etkileşimler gibi riskli olabilecek ve sahte etkileşimleri tespit etme güvenilir olmayan ortamlarda ve güvenli olmayan ortamlarda, uygulamanızın arka uç sunucusu saldırıları önlemek ve kötüye kullanımı azaltmak için gereken işlemleri gerçekleştirerek gereken yanıtı vermelidir.

Uygulamanız veya oyununuz Google Play Store yüklü bir Android cihazda kullanıldığında Google Play Hizmetleri tarafından desteklenen Play Integrity API, kullanıcıların ihtiyaçlarını Aşağıdakilerle etkileşim kurup kurmadığınızı belirlemenize yardımcı olur:

  • Orijinal uygulama ikili programı: Google Play tarafından tanınan değiştirilmemiş ikili program.
  • Orijinal Play yüklemesi: Mevcut kullanıcı hesabının kullanıcının uygulamanızı veya oyununuzu yüklediği ya da bunlar için ödeme yaptığı anlamına gelir. .
  • Orijinal Android cihaz: Uygulamanızın Google Play Hizmetleri tarafından desteklenen orijinal bir Android cihaz (veya orijinal Örneğin, PC Üzerinde Google Play Games).

Ayrıca çevre hakkında bilgi almayı da aşağıdakiler dahil olmak üzere Play Integrity API yanıtınızda:

  • Uygulama erişiminin riski: Sorunlu olabilecek uygulamaların çalışıp çalışmadığını belirleyin ekranı yakalamak, yer paylaşımlarını görüntülemek veya cihazı kontrol etmek için kullanılır.
  • Bilinen kötü amaçlı yazılımlardan kaynaklanan risk: Google Play Protect'in etkin olup olmadığını belirleme ve cihazda riskli ya da tehlikeli uygulamalar bulup bulmadığı gibi bilgileri içerir.

Genel bakış

Kullanıcılar uygulamanızda işlem yaptığında Play Integrity API'yi çağırabilirsiniz Google Play tarafından yüklenen orijinal uygulama ikili programınızda olup olmadığını kontrol etmek için çalışan orijinal bir cihazdır. Ayrıca isterseniz cihaz tarafından gönderilen isteklerin hacmi de dahil olmak üzere yanıttaki bilgiler ve uygulama erişim riski de dahil olmak üzere ortamla ilgili sinyaller kararını ve Play Protect kararını içerir. Kararlarda sorun varsa uygulamanızın arka uç sunucusu, sizi sorunlara karşı korumak için ne yapılacağına karar verebilir kötüye kullanım, sahtekarlık, hatalı kullanım, hile, yetkisiz erişim ve saldırı gibi.

Play Integrity API'ye Genel Bakış
akış

Güvenlikle ilgili olarak göz önünde bulundurulması gerekenler

Play Integrity API, uygulamanız için en yüksek değeri elde etmenizi sağlar. önerilen uygulamalar:

Kötüye kullanımı önleme stratejinizi belirleyin

Play Integrity API, şunun bir parçası olarak diğer sinyallerle birlikte kullanıldığında en iyi performansı gösterir: genel olarak kötüye kullanımı önleme stratejiniz olmalıdır. Kötüye kullanıma karşı tek mekanizmanız olmamalıdır. Tekliflerinizi otomatikleştirmek ve optimize etmek için diğer uygun güvenlik en iyileriyle birlikte bu API'yi en iyi uygulamaları burada bulabilirsiniz. Uygulamanız varsayılan olarak Tüm yüklemeler genelinde günde 10.000'e kadar istek iletilebilir. Şunları yapabilirsiniz: günlük bütçenizi artırmanızı maksimum.

Harekete geçmeden önce telemetri toplayın ve kitlenizi anlayın.

Play Integrity API kararlarına göre uygulamanızın davranış şeklini değiştirmeden önce şunları yapabilirsiniz: mevcut kitlenizle ilgili mevcut durumu anlamak için Yaptırım gerektirmeyen API'dir. Mevcut yükleme tabanınızın sonuçlarını öğrendikten sonra planladığınız herhangi bir yaptırımın etkisini tahmin edebilir kötüye kullanımı önleme stratejinizi buna göre ayarlayın.

Entegrasyon kararını nasıl isteyeceğinize karar verin

Play Integrity API, bütünlük istemek ve almak için iki seçenek sunar karar verebilir. Standart istekler, klasik istekler veya bunların bir kombinasyonu her iki istek türünde de entegrasyon kararı yanıtı aynı biçimdedir.

Standart API istekleri her uygulama veya oyun için uygundur ve kullanıcı işleminin veya sunucu isteğinin gerçek olup olmadığını kontrol etme talebi. Standart isteklerin gecikme süresi en düşük (ortalama birkaç yüz milisaniye) ve kullanılabilir bir karar almanın güvenilirliğini artırır. Standart istekler cihaz üzerinde akıllı önbelleğe alma ve belirli türlerdeki korumalara karşı koruma Google Play'e saldırı.

Entegrasyon kararı talep etmenin orijinal yolu olan klasik API istekleri de kullanmaya devam edebilirsiniz. Klasik isteklerin gecikme süresi daha yüksektir (birkaç saniye ortalama) ve sizin için belirli türdeki olası satışların riskini anlamına gelir. Klasik istekler, standarttan daha fazla kullanıcı verisi ve pil kullanır Çünkü bunlar yeni bir değerlendirme başlatmaktadır ve bu nedenle son derece hassas veya değerli bir işlem olup olmadığını kontrol etmek için nadiren samimidir. Klasik bir istek oluşturup bunu kullanmanız durumunda, kötü amaçlı yazılımdan etkilenme riskini azaltmak için anlamına gelir.

Aşağıdaki tabloda, iki farklı kampanya türü arasındaki bazı temel farklar istekler:

Standart API isteği Klasik API isteği
Minimum Android SDK sürümü gerekli Android 5.0 (API düzeyi 21) veya sonraki sürümler Android 4.4 (API düzeyi 19) veya sonraki sürümler
API ısınma gerekli ✔️ (birkaç saniye)
Normal istek gecikmesi Birkaç yüz milisaniye Birkaç saniye
Olası istek sıklığı Sık (herhangi bir işlem veya istek için talep üzerine kontrol) Nadir (en yüksek değere sahip işlemler veya en hassas istekler için tek seferlik kontrol)
Tekrar oynatma ve benzer saldırılara karşı azaltın Google Play'den otomatik çözüm nonce alanını sunucu tarafı mantığıyla kullan

Klasik istekle ilgili dikkat edilmesi gereken noktalar bölümünde daha fazla farklılık içeren bir tablo görebilirsiniz.

Uygun bir zamanda entegrasyon kararı iste

Uygulama erişim riski kararını mümkün olduğunca yakın bir zamanda talep etmelisiniz. engellemek istediğiniz eylem veya sunucu isteği, dolandırıcıların, sisteminiz tarafından gerçekleştirilen bütünlük denetimi uygulamasını indirin.

API isteklerinizin çoğaltılmasını zorlaştırma

Standart API isteklerinde, isteklerinizi korumak için kullanılan requestHash adlı bir alan bulunur. karşı empatiyle yaklaşmak çok önemlidir. Bu alana uygulamanızın isteğindeki tüm ilgili değerlerin özetini oluşturun. Şu kılavuzdaki yönergeleri izleyin: içerik bağlamayı kullanma ve uygulamanızın standart isteklerini koruyun.

Klasik API isteklerinde nonce (birinci sayının kısaltması) adlı bir alan bulunur. Tekrar oynatma ve belirli saldırı türlerine karşı koruma sağlamak için kurcalama saldırılarıdır. Video oluşturma aracındaki klasik uygulamayı korumak için nonce kabul edersiniz.

Entegrasyon kararlarını önbelleğe almaktan kaçınma

Entegrasyon kararlarını önbelleğe almak, bir saldırı olan proxy Bu örnekte, kötü niyetli bir kişi iyi bir cihazdaki kararını kötüye kullanım amacıyla yeniden kullandığında emin olmanız gerekir. Yanıtları önbelleğe almak yerine standart bir API oluşturabilirsiniz: isteğinde bulunun.

Kademeli bir yaptırım stratejisine sahip olma

Play Integrity API'nin entegrasyon kararının olası yanıtları vardır kullanarak kötüye kullanım karşıtı bir strateji oluşturarak yaptırımı. Bunu, uygulamanızın arka uç sunucusunu bağlı olarak farklı şekillerde ekleyebilirsiniz.

Yaptırım stratejinizi cihaza göre katmanlandırmanız da mümkündür. ek cihaz almayı tercih ederek güvenilirliğinizi etiketleri kullanın bu yanıtı vermemiz gerekir. Her cihaz kriterlerini ifade eder. Örneğin, tüm cihazları almayı etkinleştirdikten sonra etiketi döndüren cihaza güvenerek MEETS_STRONG_INTEGRITY, MEETS_DEVICE_INTEGRITY ve MEETS_BASIC_INTEGRITY yalnızca MEETS_BASIC_INTEGRITY döndüren bir cihazdan daha fazla. Yanıt verebilirsiniz farklı şekilde yapılır.

Sunucunuzdan uygulamanıza çeşitli yanıtlar gönderin

Bir dizi karar sonucuna sahip olmak, aynı sonuçları tekrarlamak, ikili program Her yanıt için sunucudan uygulamaya geri yanıt verilmesine izin verin/reddedin. Örneğin, Örneğin, "İzin ver" ve "İzin ver" gibi bir dizi ilgili CAPTCHA tamamlandıktan sonra izin ver ve Reddet.

Son cihaz etkinliğini kullanarak büyük ölçekli kötüye kullanımı tespit etme

Aşağıdakileri öğrenmek için Play Integrity API'deki son cihaz etkinliği özelliğini kullanın: çok sayıda bütünlük jetonu isteyen cihazlar olabilir. Yüksek hacimli etkinlik kötüye kullanan kişiler genellikle gerçek cihazlardan geçerli onay sonuçları rootlanmış cihazlara ve emülatörlere yönelik saldırıları otomatik hale getirmek için bunları botlara sağlama. Kaç tane cihaz etkinliği olduğunu kontrol etmek için son cihaz etkinliği düzeyini kullanabilirsiniz onayları son bir saat içinde bu cihazda uygulamanız tarafından oluşturuldu.

İşlem yapılabilir hata mesajlarını göster

Mümkün olduğunda kullanıcıya faydalı hata mesajları sağlayın ve ne olduğunu açıklayın neler yapabildiğini düşünün. yeniden deneme, internet bağlantısını etkinleştirme veya Play Store uygulamasının güncel olup olmadığını kontrol edin.

Beklenmedik sorunlar veya kesintiler için plan yapın

Play durum kontrol paneli, Play Integrity API'nin hizmet durumu hakkında bilgi ve . Projenin gidişatı boyunca arka uç sunucunuzun büyük ölçekli bir kullanıcı olması durumunda Play Integrity API kesintisi.

Uçtan uca kurumsal sahtekarlık çözümlerini tercih edin

Eksiksiz bir sahtekarlık ve bot yönetimi çözümü arayan kurumsal müşteriler reCAPTCHA satın alabilir. Google Enterprise, şunun için SDK'ları içerir: Android buyle ilgili diğer ipuçlarını da takip edebilirsiniz. Otomatik olarak reCAPTCHA Enterprise Play Integrity API sinyallerini içerir ve bunları reCAPTCHA ağıyla birleştirir ve uygulama sinyalleri aracılığıyla sorunsuz ve görünmez bir sahtekarlık kullanıma hazır bir yönetim çözümüdür. Ayrıca Android cihazlar için koruma da sağlayabilir. Play Integrity API'nin kullanılamadığı uygulamalar için geçerlidir.

Yüksek değere sahip veya hassas özelliklere erişirken riskli trafiğe meydan okuyun

Uygulama veya oyununuzda yüksek değerli ya da hassas işlemleri tanımlayarak Erişimi tamamen reddetmek yerine Play Integrity API'yi kullanın. Mümkünse meydan okuyun riskli trafiği tespit eder. Örneğin, bir uygulamanın çalıştığını ve ekranını kaydedebilecek uygulamaları devre dışı bırakmasını veya kaldırmasını isteyin korumak istediğiniz işlevlere devam etmelerine izin vermeden önce.

Hizmet Şartları ve Veri Güvenliği

Play Integrity API'ye erişerek veya Play Integrity API'yi kullanarak Play Integrity'yi kabul etmiş olursunuz. API Hizmet Şartları. Lütfen okuyup anlayın geçerli tüm şartları ve politikaları inceleyin.

Google Play'de geliştiricilerin, uygulamalarının bilgilerini açıklayabilecekleri bir Veri Güvenliği bölümü vardır. veri toplama, paylaşma ve güvenlik uygulamaları ile ilgili bilgi edinebilirsiniz. Alıcı: daha fazla bilgi edinmek için Play Store'un nasıl Verileri Integrity API işler.