0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Play Integrity API是什么,有哪些优势

谷歌开发者 来源:谷歌开发者 作者:谷歌开发者 2022-02-18 18:34 次阅读

Android 平台上有丰富的应用和游戏,为用户带来了很多绝佳的使用体验。其中大部分的用户会按照应用或游戏所设计的体验路线享受其带来的乐趣。但还是有一些用户来者不善,他们会通过作弊、恶意篡改、欺诈盗窃、盗版或未经授权等方式对应用或游戏进行滥用,这使得开发者不得不绞尽脑汁应对。通常使用未知账户或未知设备同应用进行不可信的交互将会带来滥用行为,且形式越来越复杂,这给开发者带来的挑战也在持续升级。本文您将学习到如何使用最新的 Play Integrity API 在兼顾便利性的同时为开发者保障应用的安全和完整性。

Play Integrity API

我们曾推出独立的 API 来专门处理此类特定问题,比如 SafetyNet Attestation API 和 Google Play Licensing,每天帮助上千个应用处理对设备和用户账号的信任问题。但是随着挑战升级,所要面临的情况越来越复杂,开发者往往要集成多个 API 才能成功处理反滥用问题,但这样带来的复杂性很容易产生遗漏,而一项遗漏造成的结果往往可能会导致应用被严重滥用。

为解决这类问题,我们整合了最为先进的完整性技术,提供了全新的 Play Integrity API,实现了让开发者只需调用单个 API 就能够实现整个应用的保护。该 API 会检测应用中存在的风险和不可信的交互,并发送信号给应用后端服务器,应用后端服务会判断是否能够信任同应用进行的交互。

Play Integrity API 有助于保护您的应用和游戏,使其免受可能存在风险的欺诈性交互 (例如欺骗和未经授权的访问) 的危害,让您能够采取适当措施来防范攻击并减少滥用行为。

当您的应用在搭载 Android 4.4 (API 级别 19) 或更高版本的设备上使用时,Play Integrity API 会提供已签名且加密的响应,其中包含以下信息:

正版应用二进制文件: 确定您正在与之交互的二进制文件是否已获 Google Play 认可且未经篡改。

正规 Play 安装: 确定当前用户帐号是否以正当方式 (例如通过 Google Play 安装或付费购买) 获取应用或游戏。

正品 Android 设备: 确定您的应用是否在由 Google Play 服务提供支持、已知且未经篡改的 Android 设备上运行。

一旦发现问题,您可以决定是否需要提高用户使用门槛,来提高应用被滥用的难度,从而降低应用可能会面临的风险。我们已同一些开发者们紧密合作来测试这一 API,它已投入生产环境使用,来保护应用和游戏不被滥用。

Play Integrity API 具有如下关键优势:

它由 Google Play 提供支持,并提供了最新的文档、代码示例和最佳实践,开发者可从 Play Console 进行配置,并得到开发者支持;

Integrity API 返回的数据包体积小且被加密,单个返回的数据包封装了多个完整性检测信号,无需进行多个 API 调用;

这是一个面向未来设计的 API,它将会支持更新的设备种类和规格的完整性检测。

授信流程

Play Integrity API 通过某种难以被侵入的方式让您的应用服务器同 Play 服务器进行通信,并进一步处理授信。其具体步骤如下图所示:

用户开始进行某项操作,比如登陆应用或者加入多人游戏;

应用后端服务器开始生成唯一 ID,并通过触发应用开始进行完整性检查;

应用调用 Play Integrity API;

Play 服务器会开始根据多项信号进行评估,包括设备是否已经受到侵入,是否通过证书认证测试,并对应用的授权许可进行验证,随后 Play Integrity API 会返回经过签名和加密的判定结果给应用,告知是否可以信任设备和二进制文件;

应用再将 Play Integrity API 返回的结果转发回应用服务器;

应用服务器会检查返回的 ID 与发送时的 ID 是否相同,并对结果进行分析判断,并将其返回给应用;

应用拿到结果之后,如果判定一切正常就可以让用户继续使用。

以上所有的操作都会在一瞬间完成,用户不会感觉到有任何的延迟。如果您使用的是 SafetyNet Attestation API,它的实现同上述步骤相似。

注意事项

在使用 Play Integrity API 时,需要注意以下几点:

确认遇到的主要问题,是盗版问题,比如流量欺诈、作弊,还是其他问题。分析出问题的严重程度,以及它造成的损失程度,以判断需要花费多大的努力去减少损失;

就完整性问题而言,没有一劳永逸的解决方案,新的 Play Integrity API 也不能解决所有问题,它仅可作为整体安全和反滥用策略的一个环节;

务必要考虑到误报的风险以及其他可能带给普通用户的使用成本,与其遇到有风险的操作就进行封堵,更好的做法通常是通过额外步骤增加用户滥用的门槛;

持续分析,倾听用户反馈,并持续更新 Android 和 Play 支持的功能,积极采用行业内反滥用的最佳实践。

如需了解 Play Integrity API 详情,请前往 Play Integrity API 页面:

针对在 Google Play 以及其他平台发行的应用,我们都将发布集成指南,我们还会分享更多从 Safety Device Attestation 以及 Play Licensing 迁移至新 API 的相关信息,敬请关注,同时期待您的反馈。

原文标题:使用 Play Integrity API 来保护您的应用和游戏

文章出处:【微信公众号:谷歌开发者】欢迎添加关注!文章转载请注明出处。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Android
    +关注

    关注

    12

    文章

    3918

    浏览量

    127072
  • API
    API
    +关注

    关注

    2

    文章

    1478

    浏览量

    61764
  • 设备
    +关注

    关注

    2

    文章

    4464

    浏览量

    70506

原文标题:使用 Play Integrity API 来保护您的应用和游戏

文章出处:【微信号:Google_Developers,微信公众号:谷歌开发者】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    api驱动的云服务是什么意思?

    API驱动的云服务是指利用API技术来驱动和提供云服务的模式。在这种模式下,云服务提供商会公开一系列的API接口,允许开发者或应用程序通过调用这些API来实现对云服务的访问和操作。
    的头像 发表于 11-14 10:06 34次阅读

    API :软件程序间沟通的桥梁

    或许我们不清楚API是什么,但在现实生活中,API的应用场景却远远超出了我们的想象。举个例子来说,当我们想要搜索某个IP地址时,通常是利用API与离线库两种方式去获取数据信息,那么或许你会疑惑到底
    的头像 发表于 08-27 15:54 189次阅读

    esp-adf esp_audio_play()播放https异常的原因?怎么处理?

    Play the given uri * * The esp_audio_play have follow activity, setup inputstream, outputstream
    发表于 06-28 06:31

    华为云发布 CodeArts API,为 API 护航

    4 月 10 日,华为云正式发布 API 全生命周期管理一体化协作平台 CodeArts API,支持开发者高效实现 API 设计、开发、测试、托管、运维、变现的一站式体验。以 API
    的头像 发表于 05-09 23:17 479次阅读
    华为云发布 CodeArts <b class='flag-5'>API</b>,为 <b class='flag-5'>API</b> 护航

    什么是国外API代理?

    API
    jf_60146132
    发布于 :2024年04月30日 06:47:18

    OpenAI API Key获取与充值教程:助开发者解锁GPT-4.0 API

    OpenAI 的 API Key,以及如何使用这个 Key 来调用 GPT-4.0 API。 第一步:获取 OpenAI API Key 要开始使用 OpenAI 的服务,你首先需要注册并获取一个
    的头像 发表于 04-28 16:35 9797次阅读
    OpenAI <b class='flag-5'>API</b> Key获取与充值教程:助开发者解锁GPT-4.0 <b class='flag-5'>API</b>

    美国洛杉矶VPS的优势哪些?

    美国洛杉矶vps是很多用户的选择,那么美国洛杉矶VPS的优势哪些?rak部落小编为您整理发布美国洛杉矶VPS的优势哪些? 美国洛杉矶VPS的优势
    的头像 发表于 04-28 10:19 403次阅读

    API安全风险显现,F5助API实现可信访问

    API在现代软件开发中占据着重要地位,是应用和数据的网关,实时API更是构建数字业务的基础。Salt Labs报告显示,过去6个月中,API攻击活动数量快速增长了400%,可见API
    的头像 发表于 04-17 16:09 405次阅读
    <b class='flag-5'>API</b>安全风险显现,F5助<b class='flag-5'>API</b>实现可信访问

    全新NVIDIA Omniverse Cloud API何亮点?

    NVIDIA Omniverse Cloud API 使开发者能够将 Omniverse 技术集成到其设计与仿真工具和工作流中。
    的头像 发表于 03-20 13:42 412次阅读

    国巨陶瓷贴片电容哪些优势

    国巨陶瓷贴片电容哪些优势,YAGEO贴片电容(MLCC)是一种电容材质。贴片电容全称为:多层(积层,叠层)片式陶瓷电容器,也称为贴片电容,片容。陶瓷贴片电容相比其它电容占据较大优势,由于体积小作用强大,较多的应用到精密电子产品
    的头像 发表于 03-12 14:05 980次阅读
    国巨陶瓷贴片电容<b class='flag-5'>有</b>哪些<b class='flag-5'>优势</b>?

    谷歌Play商店推出并行下载功能,支持多应用下载

    此非 Google Play 的首次尝试。早于 2020 年,Google Play 已启动多项安卓应用的并行下载测试,然而后因技术缘故而被暂停。如今,再度回归该功能试验。随着时间推移,有望逐步推广至广大用户群体。
    的头像 发表于 03-08 14:20 680次阅读

    请问PSOC的输入输出切换的API吗?

    如题,请问PSOC的输入输出切换的API吗?
    发表于 02-21 07:58

    如何在鸿蒙系统上安装Google Play

    随着鸿蒙(HarmonyOS)系统的逐渐普及和用户基数的增加,一些用户希望能在鸿蒙系统上使用Google Play商店以获取更多应用。然而,由于鸿蒙系统与Google服务不兼容,官方并未提供官方支持
    的头像 发表于 01-31 17:13 1.5w次阅读

    Kubernetes Gateway API攻略教程

    Kubernetes Gateway API 刚刚 GA,旨在改进将集群服务暴露给外部的过程。这其中包括一套更标准、更强大的 API资源,用于管理已暴露的服务。在这篇文章中,我将介绍 Gateway
    的头像 发表于 01-12 11:32 818次阅读
    Kubernetes Gateway <b class='flag-5'>API</b>攻略教程

    弹簧拉压测试机哪些原理与优势

    弹簧拉压测试机哪些原理与优势?|深圳磐石测控
    的头像 发表于 11-20 09:10 855次阅读
    弹簧拉压测试机<b class='flag-5'>有</b>哪些原理与<b class='flag-5'>优势</b>