本页提供了一份核对清单,以确保您已完成将 SafetyNet Attestation API 集成到您的应用所需的每个步骤。
在提交增加配额请求之前,请确保您已完成本页中所列的每个步骤。
核对清单内容
上次更新时间:2019 年 3 月。
除了 SafetyNet Attestation API 之外,您的服务还使用其他信号来检测滥用情况。
您已请求了 API 密钥,为您的项目请求了配额,并在您的应用中使用了正确的关联 API 密钥。
您的应用使用的是
SafetyNetClient,而不是已废弃的SafetyNetApi。您的应用会创建并使用较大的随机数(16 字节或更长),它们要么在您的服务器上生成,要么部分派生自您向服务器发送的数据(后面这种情况更好)。
您的应用通过尝试请求(两次重试之间间隔的时间会不断增加,即指数退避)来处理瞬时错误。
您在自己控制的服务器上验证 API 的结果。
您在自己的服务器中实现了 JWS 签名验证器,例如我们提供的代码示例中的验证器。
您的服务器至少应验证证明响应中包含的时间戳、Nonce、APK 名称和 APK 签名证书哈希值。
您没有使用 Android Device Verification API 来验证响应消息,因为它仅用于测试目的。
您在评估从响应中解读
ctsProfileMatch和basicIntegrity字段之间的区别。您针对某些设备或用户配置了动态许可名单,这样就可以选择忽略不想要的 SafetyNet Attestation API 结果。
您可以将应用配置为能够在 SafetyNet Attestation API 出现大规模中断时正常运行。
您为客户端注册了 API 的邮寄名单,以传达有关服务的重要通知,例如即将进行的变更和新功能。