Checklist pour l'intégration de l'API SafetyNet Attestation

Cette page présente une checklist pour vous assurer que vous avez effectué toutes les étapes nécessaires pour intégrer l'API SafetyNet Attestation à votre application.

Avant d'envoyer une demande d'augmentation des quotas, assurez-vous d'avoir suivi chacune des étapes indiquées sur cette page.

Éléments de la checklist

Dernière mise à jour : mars 2019

  • Votre service utilise d'autres signaux, en plus de l'API SafetyNet Attestation, pour détecter les utilisations abusives.

  • Vous avez demandé une clé API, demandé des quotas pour votre projet et utilisé la ou les clés API associées appropriées dans votre application.

  • Votre application utilise la SafetyNetClient, et non la SafetyNetApi, qui est obsolète.

  • Votre application vérifie que la dernière version des services Google Play est installée.

  • Votre application crée et utilise des nonces volumineux (16 octets ou plus) générés sur votre serveur ou, mieux encore, une partie de votre nonce est dérivée des données que vous envoyez à votre serveur.

  • Votre application gère les erreurs temporaires en renouvelant la requête avec un délai croissant entre les tentatives (intervalle exponentiel entre les tentatives).

  • Vous vérifiez les résultats de l'API sur un serveur que vous contrôlez.

  • Vous avez implémenté un outil de validation de signature JWS sur votre propre serveur, tel que celui figurant dans les exemples de code que nous proposons.

  • Votre serveur vérifie au minimum le code temporel, le nonce, le nom de l'APK et le ou les hachages de certificat de signature de l'APK inclus dans la réponse d'attestation.

  • Vous n'utilisez pas l'API Android Device Verification pour valider les messages de réponse, car elle est conçue à des fins de test uniquement.

  • Vous disposez d'un système permettant de surveiller l'utilisation de vos quotas et qui vous avertit lorsque vous les avez presque épuisés. Ainsi, vous pouvez demander une augmentation des quotas en fonction de la demande.

  • Vous évaluez la différence entre l'interprétation des champs ctsProfileMatch et basicIntegrity de la réponse.

  • Vous avez mis en place une liste d'autorisation dynamique pour certains appareils ou utilisateurs. Vous pouvez donc choisir d'ignorer les résultats défavorables de l'API SafetyNet Attestation.

  • Vous pouvez configurer votre application pour qu'elle fonctionne normalement en cas de panne à grande échelle de l'API SafetyNet Attestation.

  • Vous vous êtes inscrit à la liste de diffusion de l'API destinée aux clients, qui permet de communiquer des annonces importantes sur le service, telles que les modifications à venir et les nouvelles fonctionnalités.