ব্যবহারকারীরা যখন একটি সংবেদনশীল লেনদেন শুরু করেন, যেমন একটি অর্থপ্রদান করা, সমর্থিত ডিভাইসগুলি যেগুলি Android 9 (API স্তর 28) বা উচ্চতর চালায় সেগুলি আপনাকে Android Protected Confirmation ব্যবহার করতে দেয়৷ এই ওয়ার্কফ্লো ব্যবহার করার সময়, আপনার অ্যাপ ব্যবহারকারীর কাছে একটি প্রম্পট প্রদর্শন করে, তাদের একটি সংক্ষিপ্ত বিবৃতি অনুমোদন করতে বলে যা তাদের সংবেদনশীল লেনদেন সম্পূর্ণ করার অভিপ্রায়কে পুনরায় নিশ্চিত করে।
ব্যবহারকারী বিবৃতিটি গ্রহণ করলে, আপনার অ্যাপটি ডায়ালগে দেখানো বার্তাটিতে স্বাক্ষর করতে Android কীস্টোর থেকে একটি কী ব্যবহার করতে পারে। স্বাক্ষরটি খুব উচ্চ আত্মবিশ্বাসের সাথে নির্দেশ করে যে ব্যবহারকারী বিবৃতিটি দেখেছেন এবং এতে সম্মত হয়েছেন।
সতর্কতা: Android Protected Confirmation ব্যবহারকারীর জন্য একটি নিরাপদ তথ্য চ্যানেল প্রদান করে না। আপনার অ্যাপ Android প্ল্যাটফর্মের অফারগুলির বাইরে কোনও গোপনীয়তার গ্যারান্টি অনুমান করতে পারে না। বিশেষ করে, সংবেদনশীল তথ্য প্রদর্শন করতে এই ওয়ার্কফ্লো ব্যবহার করবেন না যা আপনি সাধারণত ব্যবহারকারীর ডিভাইসে দেখাবেন না।
ব্যবহারকারী বার্তাটি নিশ্চিত করার পরে, বার্তাটির অখণ্ডতা নিশ্চিত করা হয়, তবে স্বাক্ষরিত বার্তার গোপনীয়তা রক্ষা করার জন্য আপনার অ্যাপটিকে অবশ্যই ডেটা-ইন-ট্রানজিট এনক্রিপশন ব্যবহার করতে হবে৷
আপনার অ্যাপে উচ্চ-আশ্বাস ব্যবহারকারী নিশ্চিতকরণের জন্য সমর্থন প্রদান করতে, নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করুন:
KeyGenParameterSpec.Builder
ক্লাস ব্যবহার করে একটি অপ্রতিসম সাইনিং কী তৈরি করুন । কী তৈরি করার সময়,setUserConfirmationRequired()
এtrue
পাস করুন। এছাড়াও,setAttestationChallenge()
কল করুন, নির্ভরকারী পক্ষের দেওয়া একটি উপযুক্ত চ্যালেঞ্জ মান পাস করে।উপযুক্ত নির্ভরকারী পক্ষের সাথে নতুন তৈরি হওয়া কী এবং আপনার কী-এর প্রত্যয়ন শংসাপত্র নথিভুক্ত করুন।
আপনার সার্ভারে লেনদেনের বিবরণ পাঠান এবং এটি একটি বাইনারি লার্জ অবজেক্ট (BLOB) অতিরিক্ত ডেটা জেনারেট করে ফেরত দিন। অতিরিক্ত ডেটাতে নিশ্চিত হওয়া ডেটা বা পার্সিং ইঙ্গিত অন্তর্ভুক্ত থাকতে পারে, যেমন প্রম্পট স্ট্রিংয়ের লোকেল।
আরও নিরাপদ বাস্তবায়নের জন্য, রিপ্লে আক্রমণ থেকে সুরক্ষার জন্য এবং লেনদেনগুলিকে অস্পষ্ট করার জন্য BLOB-তে অবশ্যই একটি ক্রিপ্টোগ্রাফিক নন্স থাকতে হবে।
ConfirmationCallback
অবজেক্ট সেট আপ করুন যা আপনার অ্যাপকে জানিয়ে দেয় যখন ব্যবহারকারী একটি নিশ্চিতকরণ ডায়ালগে দেখানো প্রম্পটটি গ্রহণ করে:কোটলিন
class MyConfirmationCallback : ConfirmationCallback() { override fun onConfirmed(dataThatWasConfirmed: ByteArray?) { super.onConfirmed(dataThatWasConfirmed) // Sign dataThatWasConfirmed using your generated signing key. // By completing this process, you generate a signed statement. } override fun onDismissed() { super.onDismissed() // Handle case where user declined the prompt in the // confirmation dialog. } override fun onCanceled() { super.onCanceled() // Handle case where your app closed the dialog before the user // responded to the prompt. } override fun onError(e: Exception?) { super.onError(e) // Handle the exception that the callback captured. } }
জাভা
public class MyConfirmationCallback extends ConfirmationCallback { @Override public void onConfirmed(@NonNull byte[] dataThatWasConfirmed) { super.onConfirmed(dataThatWasConfirmed); // Sign dataThatWasConfirmed using your generated signing key. // By completing this process, you generate a signed statement. } @Override public void onDismissed() { super.onDismissed(); // Handle case where user declined the prompt in the // confirmation dialog. } @Override public void onCanceled() { super.onCanceled(); // Handle case where your app closed the dialog before the user // responded to the prompt. } @Override public void onError(Throwable e) { super.onError(e); // Handle the exception that the callback captured. } }
ব্যবহারকারী ডায়ালগ অনুমোদন করলে,
onConfirmed()
কলব্যাক বলা হয়।dataThatWasConfirmed
BLOB হল একটি CBOR ডেটা স্ট্রাকচার যাতে রয়েছে অন্যান্য বিশদ বিবরণের মধ্যে, ব্যবহারকারী দেখেছে এমন প্রম্পট টেক্সট এবং সেইসাথে আপনিConfirmationPrompt
বিল্ডারে পাস করা অতিরিক্ত ডেটা।dataThatWasConfirmed
BLOB-এ স্বাক্ষর করতে পূর্বে তৈরি করা কী ব্যবহার করুন, তারপর এই BLOBটি স্বাক্ষর এবং লেনদেনের বিবরণ সহ, নির্ভরকারী পক্ষের কাছে ফেরত দিন।Android Protected Confirmation যে নিরাপত্তা আশ্বাস দেয় তার পূর্ণ ব্যবহার করতে, নির্ভরকারী পক্ষকে একটি স্বাক্ষরিত বার্তা পাওয়ার পর নিম্নলিখিত পদক্ষেপগুলি সম্পাদন করতে হবে:
- বার্তার উপরে স্বাক্ষরের পাশাপাশি স্বাক্ষর কী-এর প্রত্যয়ন শংসাপত্র চেইন পরীক্ষা করুন।
- যাচাইকরণ শংসাপত্রে
TRUSTED_CONFIRMATION_REQUIRED
পতাকা সেট আছে কিনা পরীক্ষা করুন, যা নির্দেশ করে যে সাইনিং কীটির বিশ্বস্ত ব্যবহারকারী নিশ্চিতকরণ প্রয়োজন৷ সাইনিং কী যদি একটি RSA কী হয়, তাহলে পরীক্ষা করুন যে এতেPURPOSE_ENCRYPT
বাPURPOSE_DECRYPT
বৈশিষ্ট্য নেই। - এই নিশ্চিতকরণ বার্তাটি একটি নতুন অনুরোধের অন্তর্গত এবং এখনও প্রক্রিয়া করা হয়নি তা নিশ্চিত করতে
extraData
চেক করুন৷ এই পদক্ষেপ রিপ্লে আক্রমণ থেকে রক্ষা করে। - নিশ্চিত কর্ম বা অনুরোধ সম্পর্কে তথ্যের জন্য
promptText
পার্স করুন। মনে রাখবেন যেpromptText
বার্তার একমাত্র অংশ যা ব্যবহারকারী আসলে নিশ্চিত করেছে। নির্ভরকারী পক্ষকে কখনই অনুমান করা উচিত নয় যেextraData
ডেটাতে অন্তর্ভুক্ত করা নিশ্চিত করা ডেটাpromptText
সাথে মিলে যায়।
ডায়ালগ নিজেই প্রদর্শন করতে নিম্নলিখিত কোড স্নিপেটে দেখানো মত যুক্তি যোগ করুন:
কোটলিন
// This data structure varies by app type. This is an example. data class ConfirmationPromptData(val sender: String, val receiver: String, val amount: String) val myExtraData: ByteArray = byteArrayOf() val myDialogData = ConfirmationPromptData("Ashlyn", "Jordan", "$500") val threadReceivingCallback = Executor { runnable -> runnable.run() } val callback = MyConfirmationCallback() val dialog = ConfirmationPrompt.Builder(context) .setPromptText("${myDialogData.sender}, send ${myDialogData.amount} to ${myDialogData.receiver}?") .setExtraData(myExtraData) .build() dialog.presentPrompt(threadReceivingCallback, callback)
জাভা
// This data structure varies by app type. This is an example. class ConfirmationPromptData { String sender, receiver, amount; ConfirmationPromptData(String sender, String receiver, String amount) { this.sender = sender; this.receiver = receiver; this.amount = amount; } }; final int MY_EXTRA_DATA_LENGTH = 100; byte[] myExtraData = new byte[MY_EXTRA_DATA_LENGTH]; ConfirmationPromptData myDialogData = new ConfirmationPromptData("Ashlyn", "Jordan", "$500"); Executor threadReceivingCallback = Runnable::run; MyConfirmationCallback callback = new MyConfirmationCallback(); ConfirmationPrompt dialog = (new ConfirmationPrompt.Builder(getApplicationContext())) .setPromptText("${myDialogData.sender}, send ${myDialogData.amount} to ${myDialogData.receiver}?") .setExtraData(myExtraData) .build(); dialog.presentPrompt(threadReceivingCallback, callback);
অতিরিক্ত সম্পদ
অ্যান্ড্রয়েড সুরক্ষিত নিশ্চিতকরণ সম্পর্কে আরও তথ্যের জন্য, নিম্নলিখিত সংস্থানগুলি দেখুন৷