在 Android 平台上有丰盛的利用和游戏,为用户带来了很多绝佳的应用体验。其中大部分的用户会依照利用或游戏所设计的体验路线享受其带来的乐趣。但还是有一些用户来者不善,他们会通过舞弊、歹意篡改、欺诈偷盗、盗版或未经受权等形式对利用或游戏进行滥用,这使得开发者不得不搜索枯肠应答。通常应用未知账户或未知设施同利用进行不可信的交互将会带来滥用行为,且模式越来越简单,这给开发者带来的挑战也在继续降级。本文您将学习到如何应用最新的 Play Integrity API 在兼顾便利性的同时为开发者保障利用的平安和完整性。
如果您更喜爱通过视频理解此内容,请在此处查看:
https://www.bilibili.com/vide…
△ 应用 Play Integrity API 来爱护您的利用和游戏
Play Integrity API
咱们曾推出独立的 API 来专门解决此类特定问题,比方 SafetyNet Attestation API 和 Google Play Licensing,每天帮忙上千个利用解决对设施和用户账号的信赖问题。然而随着挑战降级,所要面临的状况越来越简单,开发者往往要集成多个 API 能力胜利解决反滥用问题,但这样带来的复杂性很容易产生脱漏,而一项脱漏造成的后果往往可能会导致利用被重大滥用。
为解决这类问题,咱们整合了最为先进的完整性技术,提供了全新的 Play Integrity API,实现了让开发者只需调用单个 API 就可能实现整个利用的爱护。该 API 会检测利用中存在的危险和不可信的交互,并发送信号给利用后端服务器,利用后端服务会判断是否可能信赖同利用进行的交互。
Play Integrity API 有助于爱护您的利用和游戏,使其免受可能存在危险的欺诈性交互 (例如坑骗和未经受权的拜访) 的危害,让您可能采取适当措施来防备攻打并缩小滥用行为。
当您的利用在搭载 Android 4.4 (API 级别 19) 或更高版本的设施上应用时,Play Integrity API 会提供已签名且加密的响应,其中蕴含以下信息:
- 正版利用二进制文件: 确定您正在与之交互的二进制文件是否已获 Google Play 认可且未经篡改。
- 正规 Play 装置: 确定以后用户帐号是否以正当形式 (例如通过 Google Play 装置或付费购买) 获取利用或游戏。
- 副品 Android 设施: 确定您的利用是否在由 Google Play 服务 提供反对、已知且未经篡改的 Android 设施上运行。
一旦发现问题,您能够决定是否须要进步用户应用门槛,来进步利用被滥用的难度,从而升高利用可能会面临的危险。咱们已同一些开发者们严密单干来测试这一 API,它已投入生产环境应用,来爱护利用和游戏不被滥用。
△ Play Integrity API 的劣势
Play Integrity API 具备如下要害劣势:
- 它由 Google Play 提供反对,并提供了最新的文档、代码示例和最佳实际,开发者可从 Play Console 进行配置,并失去开发者反对;
- Integrity API 返回的数据包体积小且被加密,单个返回的数据包封装了多个完整性检测信号,无需进行多个 API 调用;
- 这是一个面向未来设计的 API,它将会反对更新的设施品种和规格的完整性检测。
授信流程
Play Integrity API 通过某种难以被侵入的形式让您的应用服务器同 Play 服务器进行通信,并进一步解决授信。其具体步骤如下图所示:
△ Play Integrity API 授信步骤
- 用户开始进行某项操作,比方登陆利用或者退出多人游戏;
- 利用后端服务器开始生成惟一 ID,并通过触发利用开始进行完整性检查;
- 利用调用 Play Integrity API;
- Play 服务器会开始依据多项信号进行评估,包含设施是否曾经受到侵入,是否通过证书认证测试,并对利用的受权许可进行验证,随后 Play Integrity API 会返回通过签名和加密的断定后果给利用,告知是否能够信赖设施和二进制文件;
- 利用再将 Play Integrity API 返回的后果转发回应用服务器;
- 应用服务器会查看返回的 ID 与发送时的 ID 是否雷同,并对后果进行分析判断,并将其返回给利用;
- 利用拿到后果之后,如果断定一切正常就能够让用户持续应用。
以上所有的操作都会在一瞬间实现,用户不会感觉到有任何的提早。如果您应用的是 SafetyNet Attestation API,它的实现同上述步骤类似。
注意事项
在应用 Play Integrity API 时,须要留神以下几点:
- 确认遇到的次要问题,是盗版问题,比方流量欺诈、舞弊,还是其余问题。剖析出问题的重大水平,以及它造成的损失水平,以判断须要破费多大的致力去缩小损失;
- 就完整性问题而言,没有一劳永逸的解决方案,新的 Play Integrity API 也不能解决所有问题,它仅可作为整体平安和反滥用策略的一个环节;
- 务必要思考到误报的危险以及其余可能带给普通用户的应用老本,与其遇到有危险的操作就进行封堵,更好的做法通常是通过额定步骤减少用户滥用的门槛;
- 继续剖析,聆听用户反馈,并继续更新 Android 和 Play 反对的性能,踊跃采纳行业内反滥用的最佳实际。
如需理解 Play Integrity API 详情,请返回 Play Integrity API 页面。
针对在 Google Play 以及其余平台发行的利用,咱们都将公布集成指南,咱们还会分享更多从 Safety Device Attestation 以及 Play Licensing 迁徙至新 API 的相干信息,敬请关注,同时期待您的反馈。
欢迎您 点击这里 向咱们提交反馈,或分享您喜爱的内容、发现的问题。您的反馈对咱们十分重要,感谢您的反对!