このページでは、SafetyNet Attestation API をアプリに統合するために必要な各手順が完了したことを確認するためのチェックリストを示します。
割り当て増加のリクエストを送信する前に、このページに記載されている各手順に対処していることを確認してください。
チェックリストの項目
最終更新日: 2019 年 3 月
お客様のサービスで、不正行為を検出するために SafetyNet Attestation API 以外の他の情報も使用している。
API キーを適用し、プロジェクト用の割り当てをリクエストして、関連付けられた正しい API キーをアプリで使用している。
アプリで
SafetyNetClientを使用している。サポートを終了したSafetyNetApiを使用していない。アプリが作成し使用するノンスは 16 バイト以上で、お客様のサーバーで生成されたもの、あるいは一部をお客様のサーバーに送信されたデータから導出したものである(後者の方がより好ましい)。
アプリで一時的なエラーに対処するため、時間間隔を広げながらリクエストを再試行している(指数バックオフ)。
お客様が管理しているサーバーで API の結果を確認している。
JWS 署名検証は、Google が提供するコードサンプルのように、お客様のサーバーで実装している。
お客様のサーバーでは、少なくとも、構成証明レスポンスに含まれるタイムスタンプ、ノンス、APK 名、および APK 署名証明書のハッシュを検証している。
テスト目的専用であるため、レスポンス メッセージの検証に Android Device Verification API を使用していない。
割り当ての使用状況を監視するためのシステムがあり、上限を超えそうになると通知する。これにより、需要に基づいて割り当ての増加をリクエストできます。
レスポンスの
ctsProfileMatchフィールドとbasicIntegrityフィールドの意味の違いを評価している。SafetyNet Attestation API の好ましくない結果を無視できるように、特定のデバイスまたはユーザー用の動的ホワイトリストを用意している。
SafetyNet Attestation API で大規模な障害が発生したときに、アプリが正常に機能するように構成できる。
API のクライアント向けメーリング リストに登録している。このメーリング リストは、今後の変更や新機能など、サービスに関する重要なお知らせを伝えるために使用されます。