SafetyNet Attestation API 集成核对清单

本页提供了一份核对清单,以确保您已完成将 SafetyNet Attestation API 集成到您的应用所需的每个步骤。

在提交增加配额请求之前,请确保您已完成本页中所列的每个步骤。

核对清单内容

上次更新时间:2019 年 3 月。

  • 除了 SafetyNet Attestation API 之外,您的服务还使用其他信号来检测滥用情况。

  • 您已请求了 API 密钥,为您的项目请求了配额,并在您的应用中使用了正确的关联 API 密钥。

  • 您的应用使用的是 SafetyNetClient,而不是已废弃的 SafetyNetApi

  • 您的应用会验证是否已安装最新版本的 Google Play 服务

  • 您的应用会创建并使用较大的随机数(16 字节或更长),它们要么在您的服务器上生成,要么部分派生自您向服务器发送的数据(后面这种情况更好)。

  • 您的应用通过尝试请求(两次重试之间间隔的时间会不断增加,即指数退避)来处理瞬时错误。

  • 您在自己控制的服务器上验证 API 的结果

  • 您在自己的服务器中实现了 JWS 签名验证器,例如我们提供的代码示例中的验证器。

  • 您的服务器至少应验证证明响应中包含的时间戳、Nonce、APK 名称和 APK 签名证书哈希值。

  • 您没有使用 Android Device Verification API 来验证响应消息,因为它仅用于测试目的。

  • 您配置了系统来监控配额使用情况,它会在即将超过配额时通知您。这样,您就可以根据需求请求增加配额

  • 您在评估从响应中解读 ctsProfileMatchbasicIntegrity 字段之间的区别。

  • 您针对某些设备或用户配置了动态许可名单,这样就可以选择忽略不想要的 SafetyNet Attestation API 结果。

  • 您可以将应用配置为能够在 SafetyNet Attestation API 出现大规模中断时正常运行。

  • 您为客户端注册了 API 的邮寄名单,以传达有关服务的重要通知,例如即将进行的变更和新功能。