Checklist untuk integrasi SafetyNet Attestation API

Halaman ini menyajikan checklist untuk memastikan bahwa Anda telah menyelesaikan setiap langkah yang diperlukan untuk mengintegrasikan SafetyNet Attestation API ke dalam aplikasi Anda.

Sebelum mengirim permintaan penambahan kuota, pastikan Anda telah menyelesaikan setiap langkah yang tercantum di halaman ini.

Item checklist

Terakhir diperbarui Maret 2019.

  • Layanan Anda menggunakan sinyal lain, selain SafetyNet Attestation API, untuk mendeteksi penyalahgunaan.

  • Anda telah menerapkan kunci API, meminta kuota untuk project Anda, dan menggunakan kunci API terkait yang benar di aplikasi.

  • Aplikasi Anda menggunakan SafetyNetClient, dan bukan SafetyNetApi yang tidak digunakan lagi.

  • Aplikasi Anda memverifikasi bahwa layanan Google Play versi terbaru telah diinstal.

  • Aplikasi Anda membuat dan menggunakan nonce dalam jumlah besar—16 byte atau lebih panjang—yang dihasilkan di server Anda atau, lebih baik lagi, sebagian nonce berasal dari data yang Anda kirim ke server.

  • Aplikasi Anda menangani error sementara dengan mencoba kembali permintaan dengan meningkatkan lamanya waktu antar-percobaan ulang (backoff eksponensial).

  • Anda memverifikasi hasil API di server yang Anda kontrol.

  • Anda telah mengimplementasikan validator tanda tangan JWS di server Anda sendiri, seperti yang ada dalam contoh kode yang kami tawarkan.

  • Sekurang-kurangnya, server Anda memverifikasi stempel waktu, nonce, nama APK, dan hash sertifikat penandatanganan APK yang disertakan dalam respons pengesahan.

  • Anda tidak menggunakan Android Device Verification API untuk memvalidasi pesan respons karena API tersebut ditujukan untuk keperluan pengujian saja.

  • Anda menerapkan sistem pemantauan penggunaan kuota yang memberi tahu Anda saat kuota hampir terlampaui. Dengan begitu, Anda dapat meminta peningkatan kuota berdasarkan permintaan.

  • Anda mengevaluasi perbedaan antara menafsirkan kolom ctsProfileMatch dan basicIntegrity dari respons.

  • Anda memiliki daftar pemberian akses yang dinamis untuk perangkat atau pengguna tertentu sehingga Anda dapat memilih untuk mengabaikan hasil SafetyNet Attestation API yang tidak baik.

  • Anda dapat mengonfigurasi aplikasi agar berfungsi secara normal saat Safety Attestation API mengalami gangguan berskala besar.

  • Anda telah mendaftar ke milis API untuk klien, yang digunakan untuk menyampaikan pengumuman penting tentang layanan, seperti perubahan mendatang dan fitur baru.