SafetyNet Attestation API 整合的檢查清單

本頁面提供檢查清單,確保您已完成將 SafetyNet Attestation API 整合到應用程式所需的每個步驟。

提交配額提高要求前,請確認您已完成本頁列出的所有步驟。

檢查清單項目

上次更新時間:2019 年 3 月。

  • 除了使用 SafetyNet Attestation API,您的服務也會使用其他信號來偵測濫用情形。

  • 您已申請 API 金鑰、為專案要求配額,並在應用程式中使用正確的關聯 API 金鑰。

  • 您的應用程式使用 SafetyNetClient,而非已淘汰的 SafetyNetApi

  • 應用程式確認已安裝最新版本的 Google Play 服務

  • 應用程式會建立及使用大型 Nonce (16 個位元組以上),它們會在伺服器中產生,或從您傳送至伺福器的資料擷取。

  • 您的應用程式會重試要求 (不斷增加每次重試的間隔時間,即指數輪詢),藉此處理傳遞錯誤。

  • 您會在自己控管的伺服器上驗證 API 結果

  • 您已在自己的伺服器上實作 JWS 簽名驗證工具,例如我們提供的程式碼範例

  • 您的伺服器至少會驗證認證回應中包含的時間戳記、Nonce、APK 名稱和 APK 簽署憑證雜湊。

  • 您並非使用 Android Device Verification API 驗證回應訊息,因為這個 API 僅供測試。

  • 內建可監控配額用量的系統,會在即將超出上限時通知您。如此一來,您就可以視需求要求增加配額

  • 您會評估回應中的 ctsProfileMatchbasicIntegrity 欄位,解讀兩者之間的差異。

  • 您已針對特定裝置或使用者建立動態許可清單,可以選擇忽略不理想的 SafetyNet Attestation API 結果。

  • 您可以設定應用程式,讓其在 SafetyNet Attestation API 發生大規模中斷時正常運作。

  • 您已為用戶端註冊 API 郵寄清單,用於傳達服務的重要公告,例如即將推出的異動和新功能。