Play Integrity API আপনাকে একটি প্রকৃত Android ডিভাইসে চলমান আপনার প্রকৃত অ্যাপ বাইনারি থেকে ইন্টারঅ্যাকশন এবং সার্ভারের অনুরোধ আসছে তা পরীক্ষা করতে সাহায্য করে। সম্ভাব্য ঝুঁকিপূর্ণ এবং প্রতারণামূলক ইন্টারঅ্যাকশন সনাক্ত করে, যেমন ট্যাম্পারড অ্যাপ সংস্করণ এবং অবিশ্বস্ত পরিবেশ থেকে, আপনার অ্যাপের ব্যাকএন্ড সার্ভার আক্রমণ প্রতিরোধ করতে এবং অপব্যবহার কমাতে উপযুক্ত পদক্ষেপের সাথে প্রতিক্রিয়া জানাতে পারে।
যখন আপনার অ্যাপ বা গেমটি Google Play Store সহ একটি Android ডিভাইসে ব্যবহার করা হয় এবং Google Play পরিষেবা দ্বারা চালিত হয়, তখন Play Integrity API একটি প্রতিক্রিয়া প্রদান করে যা আপনাকে নিম্নলিখিতগুলির সাথে ইন্টারঅ্যাক্ট করছেন কিনা তা নির্ধারণ করতে সাহায্য করে:
- জেনুইন অ্যাপ বাইনারি: আপনি আপনার অপরিবর্তিত বাইনারির সাথে ইন্টারঅ্যাক্ট করছেন কিনা তা নির্ধারণ করুন যা Google Play স্বীকৃতি দেয়।
- জেনুইন প্লে ইনস্টল: বর্তমান ব্যবহারকারীর অ্যাকাউন্টটি লাইসেন্সপ্রাপ্ত কিনা তা নির্ধারণ করুন, যার অর্থ ব্যবহারকারী Google Play-তে আপনার অ্যাপ বা গেমের জন্য ইনস্টল করেছেন বা অর্থপ্রদান করেছেন।
- জেনুইন অ্যান্ড্রয়েড ডিভাইস: আপনার অ্যাপটি Google Play পরিষেবা দ্বারা চালিত একটি প্রকৃত অ্যান্ড্রয়েড ডিভাইসে চলছে কিনা তা নির্ধারণ করুন (অথবা পিসির জন্য Google Play গেমগুলির একটি প্রকৃত উদাহরণ)।
এছাড়াও আপনি আপনার Play Integrity API প্রতিক্রিয়াতে পরিবেশ সম্পর্কে তথ্য পাওয়ার জন্য বেছে নিতে পারেন, যার মধ্যে রয়েছে:
- অ্যাপ্লিকেশান অ্যাক্সেসের ঝুঁকি: অ্যাপ্লিকেশানগুলি চলছে কিনা তা নির্ধারণ করুন যা স্ক্রীন ক্যাপচার করতে, ওভারলে প্রদর্শন করতে বা ডিভাইস নিয়ন্ত্রণ করতে ব্যবহার করা যেতে পারে।
- পরিচিত ম্যালওয়্যার থেকে ঝুঁকি: Google Play Protect চালু আছে কিনা এবং এটি ডিভাইসে ইনস্টল করা ঝুঁকিপূর্ণ বা বিপজ্জনক অ্যাপ খুঁজে পেয়েছে কিনা তা নির্ধারণ করুন।
ওভারভিউ
যখন কোনো ব্যবহারকারী আপনার অ্যাপে কোনো অ্যাকশন করেন, তখন আপনি Play Integrity API-কে কল করতে পারেন যে এটি আপনার আসল অ্যাপ বাইনারিতে ঘটেছে, Google Play দ্বারা ইনস্টল করা হয়েছে, একটি প্রকৃত Android ডিভাইসে চলছে। এছাড়াও আপনি প্রতিক্রিয়াতে অতিরিক্ত তথ্যের জন্য অপ্ট-ইন করতে পারেন যার মধ্যে একটি ডিভাইস সম্প্রতি করা অনুরোধের পরিমাণ এবং পরিবেশ সম্পর্কে সংকেত, অ্যাপ অ্যাক্সেস ঝুঁকি রায় এবং Play Protect রায় সহ। রায়ের সাথে কিছু ভুল হলে, আপনার অ্যাপের ব্যাকএন্ড সার্ভার অপব্যবহার এবং জালিয়াতি, অপব্যবহার এবং প্রতারণা, অননুমোদিত অ্যাক্সেস এবং আক্রমণের মতো সমস্যাগুলির বিরুদ্ধে রক্ষা করার জন্য কী করতে হবে তা সিদ্ধান্ত নিতে পারে৷
নিরাপত্তা বিবেচনা
যখন আপনি এই প্রস্তাবিত অনুশীলনগুলি অনুসরণ করেন তখন Play Integrity API আপনার অ্যাপের জন্য সর্বাধিক মূল্য প্রদান করে:
একটি বিরোধী অপব্যবহার কৌশল আছে
আপনার সামগ্রিক অ্যান্টি-ব্যবহার কৌশলের অংশ হিসাবে অন্যান্য সিগন্যালের পাশাপাশি ব্যবহার করা হলে Play Integrity API সবচেয়ে ভাল কাজ করে এবং আপনার একমাত্র অ্যান্টি-অ্যাবিউজ মেকানিজম হিসাবে নয়। আপনার অ্যাপের জন্য অন্যান্য উপযুক্ত নিরাপত্তা সর্বোত্তম অনুশীলনের সাথে এই APIটি ব্যবহার করুন। ডিফল্টরূপে, আপনার অ্যাপটি সমস্ত ইনস্টল জুড়ে প্রতিদিন 10,000টি পর্যন্ত মোট অনুরোধ করতে পারে। আপনি আপনার দৈনিক সর্বোচ্চ বাড়াতে অনুরোধ করতে পারেন।
টেলিমেট্রি সংগ্রহ করুন এবং পদক্ষেপ নেওয়ার আগে আপনার দর্শকদের বুঝুন
Play Integrity API রায়ের উপর ভিত্তি করে আপনার অ্যাপ কীভাবে আচরণ করে তা পরিবর্তন করার আগে, আপনি প্রয়োগ ছাড়াই API প্রয়োগ করে আপনার বিদ্যমান দর্শকদের বর্তমান পরিস্থিতি বুঝতে পারবেন। একবার আপনি জেনে গেলে আপনার বর্তমান ইনস্টল বেস কি রায় ফিরে আসছে, আপনি পরিকল্পনা করছেন এমন কোনো প্রয়োগের প্রভাব অনুমান করতে পারেন এবং সেই অনুযায়ী আপনার অপব্যবহার বিরোধী কৌশল সামঞ্জস্য করতে পারেন।
আপনি কীভাবে অখণ্ডতার রায়ের জন্য অনুরোধ করবেন তা স্থির করুন
Play Integrity API অখণ্ডতার রায়ের অনুরোধ এবং গ্রহণ করার জন্য দুটি বিকল্প অফার করে। আপনি স্ট্যান্ডার্ড অনুরোধ, ক্লাসিক অনুরোধ বা উভয় ধরনের অনুরোধের সংমিশ্রণ করুন না কেন, সততা রায়ের প্রতিক্রিয়া একই বিন্যাসে ফেরত দেওয়া হবে।
স্ট্যান্ডার্ড API অনুরোধগুলি যে কোনও অ্যাপ বা গেমের জন্য উপযুক্ত এবং ব্যবহারকারীর কোনও অ্যাকশন বা সার্ভারের অনুরোধ আসল কিনা তা পরীক্ষা করার জন্য চাহিদা অনুযায়ী করা যেতে পারে। স্ট্যান্ডার্ড অনুরোধের সর্বনিম্ন বিলম্ব (গড়ে কয়েকশ মিলিসেকেন্ড) এবং একটি ব্যবহারযোগ্য রায় পাওয়ার উচ্চ নির্ভরযোগ্যতা রয়েছে। স্ট্যান্ডার্ড অনুরোধগুলি Google Play-কে নির্দিষ্ট ধরণের আক্রমণের বিরুদ্ধে সুরক্ষা অর্পণ করার সময় স্মার্ট অন-ডিভাইস ক্যাশিং ব্যবহার করে।
ক্লাসিক এপিআই অনুরোধ , অখণ্ডতা রায়ের অনুরোধ করার আসল উপায়, এছাড়াও উপলব্ধ হতে থাকবে। ক্লাসিক অনুরোধের বিলম্ব বেশি থাকে (গড়ে কয়েক সেকেন্ড) এবং আপনি নির্দিষ্ট ধরণের আক্রমণের ঝুঁকি কমানোর জন্য দায়ী। ক্লাসিক অনুরোধগুলি স্ট্যান্ডার্ড অনুরোধের চেয়ে ব্যবহারকারীর ডেটা এবং ব্যাটারি বেশি ব্যবহার করে কারণ তারা একটি নতুন মূল্যায়ন শুরু করে এবং তাই একটি অত্যন্ত সংবেদনশীল বা মূল্যবান ক্রিয়া আসল কিনা তা পরীক্ষা করার জন্য তাদের এক-অফ হিসাবে কদাচিৎ করা উচিত। আপনি যদি একটি ক্লাসিক অনুরোধ করা এবং পরে ব্যবহার করার জন্য ক্যাশে করার কথা বিবেচনা করেন, তাহলে আক্রমণের ঝুঁকি কমাতে আপনার পরিবর্তে একটি আদর্শ অনুরোধ করা উচিত।
নিম্নলিখিত সারণী দুটি ধরণের অনুরোধের মধ্যে কিছু মূল পার্থক্য হাইলাইট করে:
| স্ট্যান্ডার্ড API অনুরোধ | ক্লাসিক API অনুরোধ | |
|---|---|---|
| ন্যূনতম Android SDK সংস্করণ প্রয়োজন | Android 5.0 (API স্তর 21) বা উচ্চতর | Android 4.4 (API স্তর 19) বা উচ্চতর |
| এপিআই ওয়ার্ম আপ প্রয়োজন | ✔️ (কয়েক সেকেন্ড) | ❌ |
| সাধারণ অনুরোধ বিলম্বিত | কয়েকশ মিলিসেকেন্ড | কয়েক সেকেন্ড |
| সম্ভাব্য অনুরোধের ফ্রিকোয়েন্সি | ঘন ঘন (অন-ডিমান্ড চেক কোন ক্রিয়া বা অনুরোধের জন্য) | বিরল (সর্বোচ্চ মূল্যের ক্রিয়া বা সবচেয়ে সংবেদনশীল অনুরোধের জন্য এক-বার চেক) |
| রিপ্লে এবং অনুরূপ আক্রমণের বিরুদ্ধে প্রশমিত করুন | Google Play দ্বারা স্বয়ংক্রিয় প্রশমন | সার্ভার সাইড লজিক সহ nonce ফিল্ড ব্যবহার করুন |
আপনি ক্লাসিক অনুরোধ বিবেচনার মধ্যে আরও পার্থক্য সহ একটি টেবিল দেখতে পারেন।
একটি উপযুক্ত মুহূর্তে একটি সততা রায়ের অনুরোধ করুন
স্ক্যামারদের আপনার অ্যাপ দ্বারা সম্পাদিত অখণ্ডতা যাচাইয়ের আশেপাশে কাজ করা থেকে বিরত রাখতে আপনার অ্যাকশন বা সার্ভারের অনুরোধের সময় যতটা সম্ভব কাছাকাছি একটি অ্যাপ অ্যাক্সেস ঝুঁকি রায়ের অনুরোধ করা উচিত।
আপনার API অনুরোধগুলি প্রতিলিপি করা কঠিন করুন
স্ট্যান্ডার্ড এপিআই রিকোয়েস্টে requestHash নামে একটি ক্ষেত্র থাকে যা ট্যাম্পারিং এবং অনুরূপ আক্রমণ থেকে রক্ষা করতে ব্যবহৃত হয়। এই ক্ষেত্রে, আপনার অ্যাপের অনুরোধ থেকে আপনার সমস্ত প্রাসঙ্গিক মানগুলির একটি ডাইজেস্ট অন্তর্ভুক্ত করা উচিত। আপনার অ্যাপ্লিকেশানের মানক অনুরোধগুলি সুরক্ষিত করার জন্য কীভাবে সামগ্রী বাইন্ডিং ব্যবহার করবেন তার নির্দেশিকা অনুসরণ করুন৷
ক্লাসিক এপিআই রিকোয়েস্টে nonce (একবার সংখ্যার জন্য সংক্ষিপ্ত) নামে একটি ক্ষেত্র থাকে, যেটি নির্দিষ্ট ধরনের আক্রমণ থেকে রক্ষা করতে ব্যবহৃত হয়, যেমন রিপ্লে এবং টেম্পারিং আক্রমণ। আপনার অ্যাপের ক্লাসিক অনুরোধ রক্ষা করার জন্য কীভাবে ননসেস তৈরি করবেন তার নির্দেশিকা অনুসরণ করুন।
সততা রায় ক্যাশিং এড়িয়ে চলুন
অখণ্ডতার রায় ক্যাশিং প্রক্সি করার ঝুঁকি বাড়ায়, এটি এমন একটি আক্রমণ যেখানে একজন খারাপ অভিনেতা অন্য পরিবেশে অপমানজনক উদ্দেশ্যে একটি ভাল ডিভাইস থেকে রায় পুনরায় ব্যবহার করে। প্রতিক্রিয়া ক্যাশে করার পরিবর্তে, আপনি দাবি অনুযায়ী একটি রায় পেতে একটি আদর্শ API অনুরোধ করতে পারেন।
একটি টায়ার্ড প্রয়োগ কৌশল আছে
Play Integrity API-এর অখণ্ডতার রায়ে সম্ভাব্য প্রতিক্রিয়ার একটি পরিসর রয়েছে যা প্রয়োগের একাধিক স্তরের সাথে একটি অপব্যবহার বিরোধী কৌশল তৈরি করা সম্ভব করে। আপনি প্রতিটি সম্ভাব্য প্রতিক্রিয়া বা প্রতিক্রিয়াগুলির গ্রুপের উপর নির্ভর করে ভিন্নভাবে আচরণ করার জন্য আপনার অ্যাপের ব্যাকএন্ড সার্ভারকে কনফিগার করে এটি করতে পারেন।
প্লে কনসোল থেকে আপনার API প্রতিক্রিয়াতে অতিরিক্ত ডিভাইস লেবেল পাওয়ার জন্য নির্বাচন করার মাধ্যমে ডিভাইসের বিশ্বস্ততার উপর ভিত্তি করে আপনার এনফোর্সমেন্ট কৌশলকে স্তরিত করাও সম্ভব। প্রতিটি ডিভাইস সেই সমস্ত লেবেল ফিরিয়ে দেবে যার মানদণ্ড এটি সন্তুষ্ট করে। উদাহরণস্বরূপ, সমস্ত ডিভাইস লেবেল পাওয়ার জন্য নির্বাচন করার পরে, আপনি এমন একটি ডিভাইসকে বিশ্বাস করতে বেছে নিতে পারেন যা MEETS_STRONG_INTEGRITY , MEETS_DEVICE_INTEGRITY , এবং MEETS_BASIC_INTEGRITY ফেরত দেয় এমন একটি ডিভাইসের থেকে যা শুধুমাত্র MEETS_BASIC_INTEGRITY ফেরত দেয়। আপনি প্রতিটি পরিস্থিতিতে সার্ভার থেকে ভিন্নভাবে প্রতিক্রিয়া জানাতে পারেন।
আপনার সার্ভার থেকে আপনার অ্যাপে বিভিন্ন প্রতিক্রিয়া পাঠান
প্রতিটি প্রতিক্রিয়ার জন্য সার্ভার থেকে অ্যাপ্লিকেশানে বাইনারি মঞ্জুরি/অস্বীকার করার প্রতিক্রিয়া পাঠানোর চেয়ে সিদ্ধান্তের ফলাফলের একটি পরিসরের প্রতিলিপি করা কঠিন। উদাহরণস্বরূপ, আপনি একাধিক সম্পর্কিত প্রতিক্রিয়াগুলি ব্যবহার করতে পারেন যেমন অনুমতি দিন, সীমার সাথে অনুমতি দিন, ক্যাপচা সম্পূর্ণ হওয়ার পরে সীমা সহ অনুমতি দিন এবং অস্বীকার করুন৷
সাম্প্রতিক ডিভাইস কার্যকলাপ ব্যবহার করে বড় মাপের অপব্যবহার শনাক্ত করুন
বিপুল সংখ্যক অখণ্ডতা টোকেনের অনুরোধকারী ডিভাইসগুলি খুঁজে পেতে Play Integrity API-তে সাম্প্রতিক ডিভাইস কার্যকলাপ বৈশিষ্ট্যটি ব্যবহার করুন৷ উচ্চ-ভলিউম-অ্যাক্টিভিটি অপব্যবহারকারীরা সাধারণত বাস্তব ডিভাইসগুলি থেকে বৈধ প্রমাণীকরণ ফলাফল তৈরি করে এবং রুটেড ডিভাইস এবং এমুলেটরগুলিতে স্বয়ংক্রিয় আক্রমণগুলি বটগুলিতে সরবরাহ করে। গত এক ঘণ্টায় সেই ডিভাইসে আপনার অ্যাপের দ্বারা কতগুলি প্রত্যয়ন তৈরি হয়েছে তা পরীক্ষা করতে আপনি সাম্প্রতিক ডিভাইস কার্যকলাপের স্তর ব্যবহার করতে পারেন।
কর্মযোগ্য ত্রুটি বার্তা দেখান
যখন সম্ভব, ব্যবহারকারীকে দরকারী ত্রুটি বার্তা প্রদান করুন এবং তাদের জানান যে তারা এটি ঠিক করতে কী করতে পারে; যেমন পুনরায় চেষ্টা করা, তাদের ইন্টারনেট সংযোগ সক্ষম করা বা প্লে স্টোর অ্যাপটি আপ-টু-ডেট আছে কিনা তা পরীক্ষা করা।
অপ্রত্যাশিত সমস্যা বা বিভ্রাটের জন্য একটি পরিকল্পনা করুন
প্লে স্ট্যাটাস ড্যাশবোর্ড প্লে ইন্টিগ্রিটি এপিআই-এর পরিষেবার স্ট্যাটাস সম্পর্কে তথ্যের সাথে যেকোন বাধা এবং বিভ্রাটের তথ্য দেখায়। একটি বৃহৎ-স্কেল প্লে ইন্টিগ্রিটি API বিভ্রাটের অসম্ভাব্য ইভেন্টে আপনি কীভাবে আপনার ব্যাকএন্ড সার্ভারকে কাজ করতে চান তা আপনার আগে থেকেই পরিকল্পনা করা উচিত।
এন্টারপ্রাইজ জালিয়াতি সমাধানের শেষ থেকে শেষ বিবেচনা করুন
এন্টারপ্রাইজ গ্রাহকরা একটি সম্পূর্ণ জালিয়াতি এবং বট পরিচালনার সমাধান খুঁজছেন তারা মোবাইলের জন্য reCAPTCHA এন্টারপ্রাইজ কিনতে পারবেন, যার মধ্যে Android এর জন্য SDK রয়েছে যা বিকাশকারীদের জালিয়াতির ঝুঁকির স্কোর প্রদান করে। reCAPTCHA এন্টারপ্রাইজ স্বয়ংক্রিয়ভাবে Play Integrity API সিগন্যাল অন্তর্ভুক্ত করে এবং গ্রাহকদের জন্য reCAPTCHA নেটওয়ার্ক এবং অ্যাপ্লিকেশন সিগন্যালের সাথে তাদের একত্রিত করে, বাক্সের বাইরে একটি ঘর্ষণহীন, অদৃশ্য জালিয়াতি ব্যবস্থাপনা সমাধান প্রদান করে। এটি Android অ্যাপগুলির জন্য সুরক্ষা প্রদান করতে পারে যেখানে Play Integrity API উপলব্ধ নেই৷
উচ্চ মূল্য বা সংবেদনশীল বৈশিষ্ট্যগুলি অ্যাক্সেস করার সময় ঝুঁকিপূর্ণ ট্র্যাফিককে চ্যালেঞ্জ করুন
সরাসরি অ্যাক্সেস অস্বীকার করার পরিবর্তে Play Integrity API-এর সাহায্যে সুরক্ষিত রাখতে আপনার অ্যাপ বা গেমে উচ্চ মূল্য বা সংবেদনশীল অ্যাকশন শনাক্ত করুন। যখন সম্ভব, উচ্চ-মূল্যের অ্যাকশনগুলিকে এগিয়ে যাওয়ার অনুমতি দেওয়ার আগে ঝুঁকিপূর্ণ ট্র্যাফিককে চ্যালেঞ্জ করুন। উদাহরণস্বরূপ, যখন অ্যাপ অ্যাক্সেসের ঝুঁকি নির্দেশ করে যে একটি অ্যাপ চলছে যা স্ক্রিন ক্যাপচার করতে পারে, ব্যবহারকারীকে এমন অ্যাপগুলিকে নিষ্ক্রিয় বা আনইনস্টল করতে বলুন যা স্ক্রীন ক্যাপচার করতে পারে এমন কার্যকারিতাতে এগিয়ে যাওয়ার অনুমতি দেওয়ার আগে যা আপনি সুরক্ষিত করতে চান৷
পরিষেবার শর্তাবলী এবং ডেটা নিরাপত্তা
Play Integrity API অ্যাক্সেস করে বা ব্যবহার করে, আপনি Play Integrity API পরিষেবার শর্তাবলীতে সম্মত হন৷ API অ্যাক্সেস করার আগে অনুগ্রহ করে সমস্ত প্রযোজ্য শর্তাবলী এবং নীতিগুলি পড়ুন এবং বুঝুন৷
আপনার ব্যবহারকারীদের অবগত রাখতে ডেভেলপারদের তাদের অ্যাপের ডেটা সংগ্রহ, ভাগ করে নেওয়া এবং সুরক্ষা অনুশীলনগুলি প্রকাশ করার জন্য Google Play-এর একটি ডেটা সুরক্ষা বিভাগ রয়েছে৷ আপনার ডেটা ফর্মটি পূরণ করতে আপনাকে সাহায্য করতে, Play Integrity API কীভাবে ডেটা পরিচালনা করে সে সম্পর্কে এই তথ্যটি দেখুন।