Play Integrity API से, यह पता करने में मदद मिलती है कि इंटरैक्शन और सर्वर के अनुरोध जो सही Android डिवाइस पर चलने वाले सही ऐप्लिकेशन बाइनरी से आती है. इन्होंने बदलाव किया है ऐसे इंटरैक्शन का पता लगाना जो जोखिम भरे और धोखाधड़ी वाले हो सकते हैं. जैसे, छेड़छाड़ करके किए गए इंटरैक्शन ऐप्लिकेशन के वर्शन और गैर-भरोसेमंद एनवायरमेंट के लिए, आपके ऐप्लिकेशन का बैकएंड सर्वर हमलों को रोकने और गलत इस्तेमाल को कम करने के लिए, सही कार्रवाई करना.
जब आपके ऐप्लिकेशन या गेम का इस्तेमाल, ऐसे Android डिवाइस पर किया जाता है जिस पर Google Play Store मौजूद है Play Integrity API, Google Play services की मदद से काम करता है. इससे आपको यह तय करने में मदद मिलती है कि आपका इंटरैक्शन इनसे जुड़ी है या नहीं:
- ऐप्लिकेशन बाइनरी सही है या नहीं: इससे यह पता चलता है कि इंटरैक्ट किया जा रहा है या नहीं जिसे Google Play पहचानता है.
- Play से इंस्टॉल किया गया ऐप्लिकेशन: इससे यह पता चलता है कि मौजूदा उपयोगकर्ता खाता लाइसेंस है, जिसका मतलब है कि उपयोगकर्ता ने आपके ऐप्लिकेशन या गेम को इंस्टॉल या उसके लिए पैसे चुकाए हैं Google Play पर उपलब्ध है.
- Android डिवाइस भरोसेमंद है या नहीं: इससे आपको पता चलता है कि आपका ऐप्लिकेशन किसी Google Play services की मदद से काम करने वाला, भरोसेमंद Android डिवाइस या Google Play Games for PC का इंस्टेंस).
आप पर्यावरण के बारे में जानकारी पाने का विकल्प भी चुन सकते हैं Play Integrity API से मिले रिस्पॉन्स में, इनमें ये चीज़ें शामिल होती हैं:
- ऐप्लिकेशन ऐक्सेस करने पर होने वाला जोखिम: देखें कि क्या ऐसे ऐप्लिकेशन चल रहे हैं जिनकी वजह से इनका इस्तेमाल स्क्रीन कैप्चर करने, ओवरले दिखाने या डिवाइस को कंट्रोल करने के लिए किया जाता है.
- जाने-पहचाने मैलवेयर से खतरा: पता करें कि Google Play Protect चालू है या नहीं चालू है और क्या उसे डिवाइस पर जोखिम भरे या खतरनाक ऐप्लिकेशन मिले हैं.
खास जानकारी
जब कोई उपयोगकर्ता आपके ऐप्लिकेशन में कोई कार्रवाई करता है, तो आपके पास Play Integrity API को कॉल करने की सुविधा होती है ताकि यह पता चल सके कि ऐसा आपके असल ऐप्लिकेशन बाइनरी में हुआ है या नहीं, जिसे Google Play ने इंस्टॉल किया है, असली Android डिवाइस पर काम करते हैं. आपके पास ज़्यादा जानकारी पाने के लिए, जवाब में दी गई जानकारी, जिसमें डिवाइस के किए गए अनुरोधों की संख्या भी शामिल है साथ ही, पर्यावरण के बारे में सिग्नल और ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम की जानकारी भी शामिल की जाती है नतीजे और Play Protect के नतीजे. अगर नतीजों में कुछ भी गलत है, तो आपके ऐप्लिकेशन का बैकएंड सर्वर यह तय कर सकता है कि समस्याओं से बचने के लिए क्या करना चाहिए जैसे, बुरे बर्ताव और धोखाधड़ी, गलत इस्तेमाल और धोखाधड़ी, बिना अनुमति के ऐक्सेस, और हमले.
सुरक्षा से जुड़ी बातें
इन नीतियों का पालन करने पर, Play Integrity API आपके ऐप्लिकेशन के लिए सबसे ज़्यादा फ़ायदेमंद साबित होता है सुझाए गए तरीके:
गलत इस्तेमाल को रोकने के लिए एक रणनीति बनाना
Play Integrity API, सबसे सही तरीके से तब काम करता है, जब इसे अन्य सिग्नल के साथ इस्तेमाल किया जाता है कॉन्टेंट के गलत इस्तेमाल को रोकने के लिए आपकी पूरी रणनीति है. इस्तेमाल की जाने वाली चीज़ें इस एपीआई को सुरक्षा के सबसे बेहतर तरीकों के साथ इस्तेमाल करें तरीकों का पालन करें. डिफ़ॉल्ट रूप से, आपका ऐप्लिकेशन सभी इंस्टॉल पर हर दिन कुल 10,000 अनुरोध कर सकते हैं. आप अपने हर दिन की सदस्यता बढ़ाने का अनुरोध करें ज़्यादा से ज़्यादा.
कोई भी कार्रवाई करने से पहले, अपने दर्शकों को टेलीमेट्री का ऐक्सेस दें और उनके बारे में जानें
Play Integrity API के नतीजों के आधार पर, अपने ऐप्लिकेशन के काम करने के तरीके को बदलने से पहले, ये काम किए जा सकते हैं अपनी मौजूदा ऑडियंस की मौजूदा स्थिति को समझने के लिए, बिना किसी उल्लंघन के एपीआई. आपके मौजूदा इंस्टॉल की संख्या के नतीजों के बारे में जानने के बाद वापस आ रहा है, तो किसी भी नीति के उल्लंघन पर होने वाले असर का अनुमान लगाया जा सकता है. साथ ही, नीति के गलत इस्तेमाल को रोकने के लिए, अपनी रणनीति में बदलाव करें.
तय करें कि पूरी सुरक्षा की जांच के नतीजों का अनुरोध कैसे किया जाएगा
Play Integrity API, इंटिग्रिटी का अनुरोध करने और उसे पाने के लिए दो विकल्प देता है नतीजे. आप स्टैंडर्ड अनुरोध करें, क्लासिक अनुरोध करें या फिर मिले-जुले अनुरोध करें दोनों तरह के अनुरोध का एक हिस्सा है, तो पूरी सुरक्षा की जांच के नतीजे का रिस्पॉन्स, एक ही फ़ॉर्मैट में होना चाहिए.
स्टैंडर्ड एपीआई अनुरोध किसी भी ऐप्लिकेशन या गेम के हिसाब से सही होते हैं. इन्हें इन पर किया जा सकता है यह जांचने की मांग करें कि उपयोगकर्ता की कोई कार्रवाई या सर्वर का अनुरोध सही है या नहीं. स्टैंडर्ड मोड अनुरोधों में सबसे कम प्रतीक्षा अवधि (औसतन कुछ सौ मिलीसेकंड) होती है और इस्तेमाल करने लायक नतीजे पाने की विश्वसनीयता बहुत ज़्यादा होती है. मानक अनुरोधों में इनका इस्तेमाल किया जाता है कुछ खास तरह के डेटा से सुरक्षा देने के दौरान, डिवाइस पर स्मार्ट तरीके से कैश मेमोरी का इस्तेमाल करने की सुविधा Google Play पर हमला हुआ हो.
क्लासिक एपीआई अनुरोध, जो पूरी सुरक्षा की जांच के नतीजों के लिए अनुरोध करने का मूल तरीका है. उपलब्ध रहेंगे. क्लासिक अनुरोधों में इंतज़ार का समय ज़्यादा होता है (कुछ सेकंड चालू औसत) और कुछ खास तरह के जोखिमों को कम करने की ज़िम्मेदारी आपकी होती है हमले. क्लासिक अनुरोध, उपयोगकर्ता के डेटा और बैटरी का ज़्यादा इस्तेमाल करते हैं. इसलिए किया जा रहा है, ताकि वे नए आकलन की प्रक्रिया शुरू कर सकें. इसलिए, कभी-कभी इस बात की जांच की जाती है कि कोई बेहद संवेदनशील या अहम कार्रवाई है या नहीं वह असली हो. अगर आपको कोई क्लासिक अनुरोध करना है और उसे बाद में इस्तेमाल करें, तो आपको जोखिम को कम करने के लिए एक स्टैंडर्ड अनुरोध करना चाहिए हमले.
यहां दी गई टेबल में, इन दोनों तरह के मुख्य अंतरों को हाइलाइट किया गया है अनुरोध:
स्टैंडर्ड एपीआई अनुरोध | क्लासिक एपीआई अनुरोध | |
---|---|---|
Android SDK का कम से कम वर्शन होना ज़रूरी है | Android 5.0 (एपीआई लेवल 21) या इसके बाद वाला वर्शन | Android 4.4 (एपीआई लेवल 19) या इसके बाद का वर्शन |
एपीआई वॉर्म-अप करना ज़रूरी है | ✔️ (कुछ सेकंड) | ❌ |
अनुरोध में आम तौर पर लगने वाला समय | कुछ सौ मिलीसेकंड | कुछ सेकंड |
अनुरोध की फ़्रीक्वेंसी | अक्सर (किसी भी कार्रवाई या अनुरोध के लिए मांग पर जांच) | कभी-कभी (सबसे ज़्यादा वैल्यू वाली कार्रवाइयों या सबसे संवेदनशील अनुरोधों के लिए, एक बार की जाने वाली जांच) |
रीप्ले और इस तरह के हमलों से बचें | Google Play की ओर से अपने-आप होने वाले खतरों के असर को कम करने की सुविधा | सर्वर साइड लॉजिक के साथ nonce फ़ील्ड का इस्तेमाल करें |
अनुरोधों के क्लासिक वर्शन में, ज़्यादा अंतर वाली टेबल देखी जा सकती है.
सही समय पर पूरी सुरक्षा की जांच के नतीजे का अनुरोध करना
आपको ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम की जानकारी पाने के लिए, जल्द से जल्द अनुरोध करना चाहिए कोई कार्रवाई या सर्वर अनुरोध हो जिसे ऐक्सेस किए जाने से बचाना है, ताकि धोखाधड़ी करने वाले लोग आपके ऐप्लिकेशन की इंटिग्रिटी जांच में काम न कर पाएं है.
अपने एपीआई अनुरोधों को दोहराना मुश्किल बनाएं
स्टैंडर्ड एपीआई अनुरोधों में requestHash
नाम का एक फ़ील्ड होता है. इसका इस्तेमाल, एपीआई अनुरोधों को सुरक्षित रखने के लिए किया जाता है
छेड़छाड़ और इस तरह के हमलों से बचने के लिए. इस फ़ील्ड में, आपको एक
आपके ऐप्लिकेशन के अनुरोध से मिली सभी ज़रूरी वैल्यू का डाइजेस्ट. इन दिशा-निर्देशों का पालन करें
कॉन्टेंट बाइंडिंग का इस्तेमाल कैसे करें
आपके ऐप्लिकेशन के स्टैंडर्ड अनुरोधों को सुरक्षित रखने के लिए.
क्लासिक एपीआई अनुरोधों में nonce
नाम का एक फ़ील्ड होता है (एक बार संख्या का छोटा रूप), जो
का इस्तेमाल कुछ खास तरह के हमलों से बचाने के लिए किया जाता है. जैसे, रीप्ले और
छेड़छाड़ करके हमला किया गया हो. डेटा जनरेट करने के तरीके के बारे में दिए गए दिशा-निर्देशों का पालन करें
अपने ऐप्लिकेशन के क्लासिक वर्शन को सुरक्षित रखने के लिए, नॉन्स
अनुरोध.
कैश मेमोरी में सेव किए जाने वाले डेटा की पूरी सुरक्षा की जांच के नतीजों से बचना
इंटिग्रिटी के नतीजों को कैश मेमोरी में सेव करने से, प्रॉक्सी करने का खतरा बढ़ जाता है. यह एक हमला है जिसमें कोई व्यक्ति गलत मकसद से, बुरे बर्ताव के लिए किसी अच्छे डिवाइस के नतीजों का दोबारा इस्तेमाल करता है इस्तेमाल करते हैं. जवाबों को कैश मेमोरी में सेव करने के बजाय, स्टैंडर्ड एपीआई बनाया जा सकता है अनुरोध पर क्लिक करें.
नीति उल्लंघन ठीक करने के तरीके (एनफ़ोर्समेंट) के लिए अलग-अलग स्तर की रणनीति बनाएं
Play Integrity API की पूरी सुरक्षा की जांच के नतीजे में, अलग-अलग तरह के जवाब मिल सकते हैं हम ऐसे कई टियर के साथ कॉन्टेंट के गलत इस्तेमाल को रोकने के लिए एक बेहतर रणनीति बनाना चाहते हैं लागू करने के लिए. ऐसा करने के लिए, अपने ऐप्लिकेशन के बैकएंड सर्वर को कॉन्फ़िगर करके ऐसा किया जा सकता है यह हर संभावित जवाब या जवाबों के ग्रुप के हिसाब से अलग-अलग होता है.
आपके पास डिवाइस के हिसाब से, नीति उल्लंघन ठीक करने के तरीके (एनफ़ोर्समेंट) की रणनीति बनाने का भी विकल्प है.
अतिरिक्त डिवाइस{/1} पाने के लिए ऑप्ट इन करके विश्वसनीयता
आपके एपीआई में लेबल
Play Console से जवाब मिल जाएगा. हर डिवाइस वे सभी लेबल दिखाएगा जिनके लिए
जिन शर्तों को पूरा करता है. उदाहरण के लिए, सभी डिवाइस पाने के लिए ऑप्ट इन करने के बाद
लेबल नहीं जोड़े हैं, तो आप लौटाने वाले डिवाइस पर भरोसा करने का विकल्प चुन सकते हैं
MEETS_STRONG_INTEGRITY
, MEETS_DEVICE_INTEGRITY
, और MEETS_BASIC_INTEGRITY
से ज़्यादा है, जो सिर्फ़ MEETS_BASIC_INTEGRITY
दिखाता है. आप जवाब दे सकते हैं
अलग-अलग होने का सुझाव देती है.
अपने सर्वर से ऐप्लिकेशन पर अलग-अलग तरह के रिस्पॉन्स भेजें
फ़ैसले के अलग-अलग नतीजे होना बाइनरी भेजने के मुकाबले ज़्यादा मुश्किल होता है हर जवाब के लिए सर्वर से ऐप्लिकेशन पर वापस जाने की अनुमति दें/अस्वीकार करें. इसके लिए उदाहरण के लिए, कई सारे मिलते-जुलते जवाबों का इस्तेमाल किया जा सकता है. जैसे- अनुमति दें, अनुमति दें सीमाएं, कैप्चा पूरा होने के बाद सीमाओं के साथ अनुमति दें, और अस्वीकार करें.
डिवाइस से जुड़ी हाल की गतिविधि का इस्तेमाल करके, बड़े स्तर पर बुरे बर्ताव का पता लगाना
Play Integrity API में मौजूद, डिवाइस पर हाल ही में की गई गतिविधि की सुविधा का इस्तेमाल करें. बड़ी संख्या में इंटिग्रिटी टोकन का अनुरोध करने वाले डिवाइस. बार-बार की जाने वाली गतिविधि गलत इस्तेमाल करने वाले लोग आम तौर पर, पुष्टि करने के मान्य नतीजे जनरेट करते हैं. इसके लिए, वे असली डिवाइसों का इस्तेमाल करते हैं और इसकी मदद से, बॉट को भी रूट किए गए डिवाइसों और एम्युलेटर पर अपने-आप हमला करने की सुविधा मिलती है. डिवाइस की हाल ही की गतिविधि के लेवल का इस्तेमाल करके, यह देखा जा सकता है कि कितने पुष्टि करने की प्रक्रिया, आपके ऐप्लिकेशन से पिछले एक घंटे में जनरेट की गई थी.
कार्रवाई करने लायक गड़बड़ी के मैसेज दिखाएं
जब भी हो सके, उपयोगकर्ता को गड़बड़ी के काम के मैसेज दें और उन्हें बताएं कि वे इस समस्या को ठीक कर सकें; उदाहरण के लिए, फिर से कोशिश करने, इंटरनेट कनेक्शन चालू करने या यह जांचा जा रहा है कि Play Store ऐप्लिकेशन अप-टू-डेट है या नहीं.
अचानक होने वाली समस्याओं या कुछ समय के लिए बंद होने के बारे में प्लान बना रहे हों
Play का स्टेटस डैशबोर्ड दिखता है Play Integrity API की सेवा की स्थिति और उसके बारे में जानकारी किसी भी तरह की रुकावट और रुकावटों के बारे में जानकारी. आपको पहले से ही प्लान बना लेना चाहिए कि तो आपको अपना बैकएंड सर्वर तब काम करना चाहिए, जब वह बड़े पैमाने पर काम करे Play Integrity API कुछ समय के लिए उपलब्ध नहीं है.
पूरी तरह से एंटरप्राइज़ से जुड़ी धोखाधड़ी के समाधान के बारे में सोचें
बड़े कारोबार के ग्राहक, जिन्हें धोखाधड़ी और बॉट को मैनेज करने से जुड़ी सभी सुविधाएं चाहिए re कैप्चा खरीदा जा सकता है Enterprise के लिए, मोबाइल के लिए उपलब्ध है. इसमें SDK टूल के लिए Android जो डेवलपर को धोखाधड़ी के जोखिम का स्कोर उपलब्ध कराते हैं. reCAPTCHA Enterprise अपने-आप इसमें Play Integrity API के सिग्नल शामिल होते हैं और उन्हें reCAPTCHA नेटवर्क के साथ जोड़ा जाता है और ऐप्लिकेशन के सिग्नल की मदद से, बिना किसी रुकावट के और न दिखने वाली धोखाधड़ी को बढ़ावा देना मैनेजमेंट समाधान के लिए डिज़ाइन किया है. यह Android के लिए सुरक्षा भी उपलब्ध करा सकता है ऐसे ऐप्लिकेशन जिनमें Play Integrity API उपलब्ध नहीं है.
ज़्यादा अहम या संवेदनशील सुविधाओं को ऐक्सेस करते समय, जोखिम भरे ट्रैफ़िक को चुनौती दें
सुरक्षा के लिए, अपने ऐप्लिकेशन या गेम में अहम या संवेदनशील कार्रवाइयों की पहचान करें सीधे तौर पर ऐक्सेस देने से मना करने के बजाय, Play Integrity API का इस्तेमाल करें. अगर मुमकिन हो, तो चुनौती दें ज़्यादा वैल्यू वाली कार्रवाइयों की अनुमति देने से पहले जोखिम भरा ट्रैफ़िक. उदाहरण के लिए, जब ऐप्लिकेशन को ऐक्सेस करने से जुड़े जोखिम का मतलब है कि ऐसा ऐप्लिकेशन चल रहा है जो तो उपयोगकर्ता से उन ऐप्लिकेशन को बंद करने या अनइंस्टॉल करने के लिए कहें जो स्क्रीन कैप्चर कर सकते हैं उन्हें उन फ़ंक्शन के लिए आगे बढ़ने से पहले जिन्हें आपको सुरक्षित करना है.
सेवा की शर्तें और डेटा की सुरक्षा
Play Integrity API को ऐक्सेस या इस्तेमाल करने का मतलब है कि आप Play Integrity से जुड़ी शर्तों से सहमत हैं API की सेवा की शर्तें. कृपया पढ़ें और समझें को ऐक्सेस करने से पहले, लागू होने वाली सभी शर्तों और नीतियों को पढ़ें.
Google Play में, डेटा की सुरक्षा वाला एक सेक्शन मौजूद है. इसकी मदद से, डेवलपर अपने ऐप्लिकेशन के बारे में जानकारी दे सकते हैं डेटा कलेक्शन, शेयर करने, और सुरक्षा के तरीकों की मदद से अपने उपयोगकर्ताओं को अप-टू-डेट रखें. यहां की यात्रा पर हूं में आपको डेटा फ़ॉर्म भरने में मदद मिलेगी. इसके लिए, पर यह जानकारी देखें कि Play Integrity API, डेटा को हैंडल करता है.