The SafetyNet Attestation API is deprecated and has been replaced by the Play Integrity API. Learn more.

Lista de verificação para uma integração da API SafetyNet Attestation

Esta página apresenta uma lista de verificação para garantir que você concluiu todas as etapas necessárias para integrar a API SafetyNet Attestation ao seu app.

Antes de enviar uma solicitação para aumento de cota (link em inglês), siga todas as etapas listadas nesta página.

Itens da lista de verificação

Última atualização em março de 2019.

  • Seu serviço utiliza outros indicadores, além da API SafetyNet Attestation, para detectar abuso.

  • Você solicitou uma chave de API, pediu mais cota para seu projeto e usou a chave de API associada correta no seu app.

  • Seu app usa o SafetyNetClient, e não a SafetyNetApi obsoleta.

  • Seu app verifica se a versão mais recente do Google Play Services está instalada.

  • Seu app cria e utiliza valores de uso único grandes (16 bytes ou mais) que são gerados no seu servidor ou, melhor ainda, uma parte do seu valor de uso único é derivado a partir dos dados que você está enviando para o servidor.

  • Seu app lida com erros temporários repetindo a solicitação com um tempo cada vez maior entre novas tentativas (espera exponencial).

  • Você está verificando os resultados da API em um servidor que você controla.

  • Você implementou um validador de assinatura JWS no seu próprio servidor, como o das amostras de código que oferecemos.

  • No mínimo, seu servidor verifica o carimbo de data/hora, o valor de uso único, o nome do APK e os hashes de certificado de assinatura do APK incluídos na resposta do atestado.

  • Você não está usando a API Android Device Verification (link em inglês) para validar mensagens de resposta, já que ela foi feita apenas para testes.

  • Você tem um sistema para monitorar seu uso da cota, informando quando ele está perto de ser ultrapassado. Dessa forma, você pode solicitar um aumento de cota com base na demanda.

  • Você está avaliando a diferença entre interpretar os campos ctsProfileMatch e basicIntegrity a partir da resposta.

  • Você tem uma lista de permissões dinâmica em vigor para determinados dispositivos ou usuários para que você possa optar por ignorar resultados desfavoráveis da API SafetyNet Attestation.

  • Você pode configurar seu app para funcionar normalmente quando a API SafetyNet Attestation sofrer uma interrupção em grande escala.

  • Você se inscreveu na lista de e-mails da API para clientes, que é usada para fazer anúncios importantes sobre o serviço, como próximas mudanças e novos recursos.