Lista de tareas para una integración de la API de Attestation de SafetyNet

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se presenta una lista de verificación que te servirá para que puedas asegurarte de haber completado cada uno de los pasos necesarios a fin de integrar la API de Attestation de SafetyNet en tu app.

Antes de enviar una solicitud de aumento de cuota, asegúrate de haber abordado cada uno de los pasos indicados en esta página.

Elementos de la lista de tareas

Última actualización en marzo de 2019

  • Tu servicio usa otras señales, además de la API de certificación de SafetyNet, para detectar abusos.

  • Solicitaste una clave de API y una cuota para tu proyecto, y usaste las claves de API asociadas correctas en tu app.

  • Tu app usa SafetyNetClient y no el SafetyNetApi obsoleto.

  • Tu app verifica que esté instalada la versión más reciente de los Servicios de Google Play.

  • Tu app crea y usa nonces grandes (de 16 bytes o más) que se generan en tu servidor o mejor aún, una parte de tu cuenta se deriva de los datos que envías a tu servidor.

  • Para manejar errores transitorios, tu app vuelve a enviar la solicitud con una cantidad de tiempo cada vez mayor entre reintentos (retirada exponencial).

  • Estás verificando los resultados de la API en un servidor que controlas.

  • Implementaste un validador de firma JWS en tu propio servidor, como el de los ejemplos de código que ofrecemos.

  • Como mínimo, el servidor verifica la marca de tiempo, el nonce, el nombre del APK y los hashes de los certificados de firma de APK incluidos en la respuesta de la certificación.

  • No utilizas la API de verificación de dispositivos Android a fin de validar los mensajes de respuesta, ya que solo está diseñada para pruebas.

  • Tienes un sistema para supervisar el uso de la cuota, que te informa cuándo está por excederse. De esta manera, puedes solicitar un aumento de la cuota según la demanda.

  • Estás evaluando la diferencia entre interpretar los campos ctsProfileMatch y basicIntegrity de la respuesta.

  • Tienes una lista blanca dinámica para ciertos dispositivos o usuarios, de modo que puedes optar por ignorar los resultados desfavorables de la API de Attestation de SafetyNet.

  • Puedes configurar tu app para que funcione de forma normal cuando la API de Attestation de SafetyNet experimente una interrupción a gran escala.

  • Te registraste en la lista de distribución de la API para clientes, que se usa con el objetivo de comunicar anuncios importantes sobre el servicio, como los próximos cambios y las funciones nuevas.