Play Integrity API (PIA) เป็นเครื่องมือต่อต้านการละเมิดสำหรับนักพัฒนาแอป Android เพื่อตรวจหา อุปกรณ์ที่มีความเสี่ยงและภัยคุกคามด้านความปลอดภัย การสาธิตนี้ซึ่งใช้แอปตัวอย่างเพื่อวัตถุประสงค์ในการทดสอบจะมอบประสบการณ์การเรียนรู้แบบมีคำแนะนำผ่าน Use Case มาตรฐานสำหรับ Play Integrity API
หลังจากสร้างแอป Android และเซิร์ฟเวอร์ Node ตัวอย่างแล้ว การตั้งค่าเริ่มต้น ต้องใช้การลิงก์โปรเจ็กต์เดียวเพื่อเชื่อมต่อโปรเจ็กต์ Google Cloud กับ แอปใน Play Console
จากนั้นเดโมจะแนะนำการกำหนดค่าฟีเจอร์ที่เฉพาะเจาะจงสำหรับแต่ละ ไมโครแอป เช่น
- การปกป้องทรัพยากรฝั่งเซิร์ฟเวอร์ (เช่น Micro-app สำหรับการสตรีม): ตัวอย่างนี้แสดงวิธีใช้การนำส่งเนื้อหาหรือการตอบกลับแบบแบ่งระดับตามผลการตัดสินและการระบุอุปกรณ์
- การป้องกันการใช้ประโยชน์ฝั่งไคลเอ็นต์ (เช่น ไมโครแอปเกม): การป้องกันนี้ มุ่งเน้นที่การปกป้องสภาพแวดล้อมของเซสชันโดยใช้ผลการตัดสินของ PIA เพื่อตรวจหา แอปที่เป็นอันตรายในอุปกรณ์ รวมถึงแอปที่ไม่ได้รับอนุญาตที่จับภาพ หน้าจอหรือควบคุมอุปกรณ์ในระหว่างเซสชันที่ได้รับการปกป้อง
- การรักษาความปลอดภัยของการดำเนินการที่มีมูลค่าสูง (เช่น มินิแอปของธนาคาร): แสดงวิธี ปกป้องการโต้ตอบที่สำคัญของผู้ใช้โดยบังคับใช้ความสมบูรณ์ของอุปกรณ์และ การเชื่อมโยงเนื้อหา
สิ่งที่ต้องมีก่อน
ก่อนเริ่มการสาธิตนี้ คุณควรทำสิ่งต่อไปนี้
- ภาพรวมของ API: Play Integrity API คืออะไร และ API นี้สนับสนุนสภาพแวดล้อมที่ปลอดภัยสำหรับนักพัฒนาแอปและผู้ใช้ของนักพัฒนาแอปอย่างไร
- คำสำคัญและแนวคิดด้านความปลอดภัยของข้อมูล
ดาวน์โหลดแอปตัวอย่าง
เราได้เผยแพร่ตัวอย่างฟีเจอร์โอเพนซอร์สไปยังบัญชี GitHub อย่างเป็นทางการของ Android ตัวอย่างนี้แสดงการใช้งานแนวทางปฏิบัติแนะนำของขั้นตอนการส่งคำขอมาตรฐานของ Play Integrity API
ตัวอย่างประกอบด้วย
- การใช้งานอ้างอิงแบบต้นทางถึงปลายทางที่ชัดเจนสำหรับ Play Integrity API คำขอมาตรฐาน
- แนวทางปฏิบัติแนะนำสำหรับการเตรียมโทเค็นและการเชื่อมโยงเนื้อหา
- การใช้ฟีเจอร์ที่ไม่บังคับ: ความสมบูรณ์ที่รัดกุม แอตทริบิวต์ของอุปกรณ์ และ รายละเอียดสภาพแวดล้อม (เช่น ความเสี่ยงในการเข้าถึงแอปและผลการตัดสินของ Play Protect)
- ตัวอย่างที่นำไปใช้ได้จริงสำหรับการจัดการการตอบกลับของ API รวมถึงรหัสข้อผิดพลาด (พร้อม กลยุทธ์การลองใหม่) และการทริกเกอร์กล่องโต้ตอบการแก้ไขในแอป