Play Integrity API (PIA) הוא כלי למניעת ניצול לרעה שמיועד למפתחי Android. הוא מאפשר לזהות מכשירים מסוכנים ואיומי אבטחה. ההדגמה הזו, שמשתמשת באפליקציה לדוגמה למטרות בדיקה, מספקת חוויית למידה מודרכת באמצעות תרחישי שימוש סטנדרטיים ב-Play Integrity API.
אחרי שיוצרים את אפליקציית Android לדוגמה ואת שרת Node, ההגדרה הראשונית דורשת קישור של פרויקט אחד כדי לחבר את הפרויקט בענן ב-Google Cloud לאפליקציה ב-Play Console.
אחרי זה, ההדגמה תנחה אתכם בהגדרת התכונות שספציפיות לכל מיני-אפליקציה. לדוגמה:
- הגנה על משאבים בצד השרת (למשל, מיקרו-אפליקציה להזרמת נתונים): במקרה הזה מוסבר איך להטמיע מסירת תוכן או תגובות מדורגות על סמך פסקי דין ומאפיינים של זיהוי המכשיר.
- הגנה מפני ניצול לרעה בצד הלקוח (לדוגמה, מיקרו-אפליקציה של משחק): ההגנה הזו מתמקדת בהגנה על סביבת סשן באמצעות קביעות של PIA כדי לזהות אפליקציות זדוניות במכשיר, וגם אפליקציות לא מורשות שמצלמות את המסך או שולטות במכשיר במהלך סשן מוגן.
- הגנה על פעולות בעלות ערך גבוה (למשל, מיני-אפליקציה של בנק): המאמר הזה מראה איך להגן על אינטראקציות קריטיות של משתמשים באמצעות אכיפה של תקינות המכשיר וקישור תוכן.
דרישות מוקדמות
לפני שמתחילים את ההדגמה הזו, צריך לבצע את הפעולות הבאות:
- סקירה כללית של ה-API: מהו Play Integrity API ואיך הוא תומך בסביבה מאובטחת למפתחים ולמשתמשים שלהם.
- מונחי מפתח ומושגים שקשורים לבטיחות נתונים.
הורדת האפליקציה לדוגמה
פרסמנו דוגמה לתכונה בקוד פתוח בחשבון הרשמי של Android ב-GitHub. בדוגמה הזו מוצגת הטמעה של זרימת הבקשות הרגילה של Play Integrity API, בהתאם לשיטות המומלצות.
הדוגמה כוללת:
- הטמעה קנונית של הפניה מקצה לקצה לבקשות רגילות של Play Integrity API.
- שיטות מומלצות להכנת טוקנים ולקישור תוכן.
- שימוש בתכונות אופציונליות: שלמות חזקה, מאפייני מכשיר ופרטי סביבה (למשל, סיכון לגישה לאפליקציה וקביעת התקינות של Play Protect).
- דוגמאות מעשיות לטיפול בתגובות מה-API, כולל קודי שגיאה (עם אסטרטגיות לניסיון חוזר) והפעלת תיבות דו-שיח לתיקון באפליקציה.