在 Android 平台上有丰富的应用和游戏,为用户带来了很多绝佳的使用体验。其中大部分的用户会按照应用或游戏所设计的体验路线享受其带来的乐趣。但还是有一些用户来者不善,他们会通过作弊、恶意篡改、欺诈盗窃、盗版或未经授权等方式对应用或游戏进行滥用,这使得开发者不得不绞尽脑汁应对。通常使用未知账户或未知设备同应用进行不可信的交互将会带来滥用行为,且形式越来越复杂,这给开发者带来的挑战也在持续升级。本文您将学习到如何使用最新的 Play Integrity API 在兼顾便利性的同时为开发者保障应用的安全和完整性。
Bilibili 视频链接
https://www.bilibili.com/video/BV1PS4y117wR/
Play Integrity API
我们曾推出独立的 API 来专门处理此类特定问题,比如 SafetyNet Attestation API 和 Google Play Licensing,每天帮助上千个应用处理对设备和用户账号的信任问题。但是随着挑战升级,所要面临的情况越来越复杂,开发者往往要集成多个 API 才能成功处理反滥用问题,但这样带来的复杂性很容易产生遗漏,而一项遗漏造成的结果往往可能会导致应用被严重滥用。
SafetyNet Attestation API
https://developer.android.google.cn/training/safetynet/attestation
Google Play Licensing
https://developer.android.google.cn/google/play/licensing
Play Integrity API
https://developer.android.google.cn/google/play/integrity
Play Integrity API 有助于保护您的应用和游戏,使其免受可能存在风险的欺诈性交互 (例如欺骗和未经授权的访问) 的危害,让您能够采取适当措施来防范攻击并减少滥用行为。
一旦发现问题,您可以决定是否需要提高用户使用门槛,来提高应用被滥用的难度,从而降低应用可能会面临的风险。我们已同一些开发者们紧密合作来测试这一 API,它已投入生产环境使用,来保护应用和游戏不被滥用。
△ Play Integrity API 的优势
Play Integrity API 具有如下关键优势:
它由 Google Play 提供支持,并提供了最新的文档、代码示例和最佳实践,开发者可从 Play Console 进行配置,并得到开发者支持;
https://play.google.com/console/developers
Integrity API 返回的数据包体积小且被加密,单个返回的数据包封装了多个完整性检测信号,无需进行多个 API 调用;
这是一个面向未来设计的 API,它将会支持更新的设备种类和规格的完整性检测。
授信流程
△ Play Integrity API 授信步骤
注意事项
确认遇到的主要问题,是盗版问题,比如流量欺诈、作弊,还是其他问题。分析出问题的严重程度,以及它造成的损失程度,以判断需要花费多大的努力去减少损失;
就完整性问题而言,没有一劳永逸的解决方案,新的 Play Integrity API 也不能解决所有问题,它仅可作为整体安全和反滥用策略的一个环节;
务必要考虑到误报的风险以及其他可能带给普通用户的使用成本,与其遇到有风险的操作就进行封堵,更好的做法通常是通过额外步骤增加用户滥用的门槛;
持续分析,倾听用户反馈,并持续更新 Android 和 Play 支持的功能,积极采用行业内反滥用的最佳实践。
如需了解 Play Integrity API 详情,请前往 Play Integrity API 页面:
推荐阅读