在 Android 平臺上有豐富的應用和游戲，為用戶帶來了很多絕佳的使用體驗。其中大部分的用戶會按照應用或游戲所設計的體驗路線享受其帶來的樂趣。但還是有一些用戶來者不善，他們會通過作弊、惡意篡改、欺詐盜竊、盜版或未經授權等方式對應用或游戲進行濫用，這使得開發者不得不絞盡腦汁應對。通常使用未知賬戶或未知設備同應用進行不可信的交互將會帶來濫用行為，且形式越來越復雜，這給開發者帶來的挑戰也在持續升級。本文您將學習到如何使用最新的 Play Integrity API 在兼顧便利性的同時為開發者保障應用的安全和完整性。

Play Integrity API

我們曾推出獨立的 API 來專門處理此類特定問題，比如 SafetyNet Attestation API 和 Google Play Licensing，每天幫助上千個應用處理對設備和用戶賬號的信任問題。但是隨著挑戰升級，所要面臨的情況越來越復雜，開發者往往要集成多個 API 才能成功處理反濫用問題，但這樣帶來的復雜性很容易產生遺漏，而一項遺漏造成的結果往往可能會導致應用被嚴重濫用。

為解決這類問題，我們整合了最為先進的完整性技術，提供了全新的 Play Integrity API，實現了讓開發者只需調用單個 API 就能夠實現整個應用的保護。該 API 會檢測應用中存在的風險和不可信的交互，并發送信號給應用后端服務器，應用后端服務會判斷是否能夠信任同應用進行的交互。

Play Integrity API 有助于保護您的應用和游戲，使其免受可能存在風險的欺詐性交互 (例如欺騙和未經授權的訪問) 的危害，讓您能夠采取適當措施來防范攻擊并減少濫用行為。

當您的應用在搭載 Android 4.4 (API 級別 19) 或更高版本的設備上使用時，Play Integrity API 會提供已簽名且加密的響應，其中包含以下信息:

正版應用二進制文件: 確定您正在與之交互的二進制文件是否已獲 Google Play 認可且未經篡改。

正規 Play 安裝: 確定當前用戶帳號是否以正當方式 (例如通過 Google Play 安裝或付費購買) 獲取應用或游戲。

正品 Android 設備: 確定您的應用是否在由 Google Play 服務提供支持、已知且未經篡改的 Android 設備上運行。

一旦發現問題，您可以決定是否需要提高用戶使用門檻，來提高應用被濫用的難度，從而降低應用可能會面臨的風險。我們已同一些開發者們緊密合作來測試這一 API，它已投入生產環境使用，來保護應用和游戲不被濫用。

Play Integrity API 具有如下關鍵優勢:

它由 Google Play 提供支持，并提供了最新的文檔、代碼示例和最佳實踐，開發者可從 Play Console 進行配置，并得到開發者支持;

Integrity API 返回的數據包體積小且被加密，單個返回的數據包封裝了多個完整性檢測信號，無需進行多個 API 調用;

這是一個面向未來設計的 API，它將會支持更新的設備種類和規格的完整性檢測。

授信流程

Play Integrity API 通過某種難以被侵入的方式讓您的應用服務器同 Play 服務器進行通信，并進一步處理授信。其具體步驟如下圖所示:

用戶開始進行某項操作，比如登陸應用或者加入多人游戲;

應用后端服務器開始生成唯一 ID，并通過觸發應用開始進行完整性檢查;

應用調用 Play Integrity API;

Play 服務器會開始根據多項信號進行評估，包括設備是否已經受到侵入，是否通過證書認證測試，并對應用的授權許可進行驗證，隨后 Play Integrity API 會返回經過簽名和加密的判定結果給應用，告知是否可以信任設備和二進制文件;

應用再將 Play Integrity API 返回的結果轉發回應用服務器;

應用服務器會檢查返回的 ID 與發送時的 ID 是否相同，并對結果進行分析判斷，并將其返回給應用;

應用拿到結果之后，如果判定一切正常就可以讓用戶繼續使用。

以上所有的操作都會在一瞬間完成，用戶不會感覺到有任何的延遲。如果您使用的是 SafetyNet Attestation API，它的實現同上述步驟相似。

注意事項

在使用 Play Integrity API 時，需要注意以下幾點:

確認遇到的主要問題，是盜版問題，比如流量欺詐、作弊，還是其他問題。分析出問題的嚴重程度，以及它造成的損失程度，以判斷需要花費多大的努力去減少損失;

就完整性問題而言，沒有一勞永逸的解決方案，新的 Play Integrity API 也不能解決所有問題，它僅可作為整體安全和反濫用策略的一個環節;

務必要考慮到誤報的風險以及其他可能帶給普通用戶的使用成本，與其遇到有風險的操作就進行封堵，更好的做法通常是通過額外步驟增加用戶濫用的門檻;

持續分析，傾聽用戶反饋，并持續更新 Android 和 Play 支持的功能，積極采用行業內反濫用的最佳實踐。

如需了解 Play Integrity API 詳情，請前往 Play Integrity API 頁面:

針對在 Google Play 以及其他平臺發行的應用，我們都將發布集成指南，我們還會分享更多從 Safety Device Attestation 以及 Play Licensing 遷移至新 API 的相關信息，敬請關注，同時期待您的反饋。

原文標題：使用 Play Integrity API 來保護您的應用和游戲

文章出處：【微信公眾號：谷歌開發者】歡迎添加關注!文章轉載請注明出處。

審核編輯:湯梓紅