Zum Inhalt springen
Capgo - Live-Updates für Capacitor-Apps Capgo

Android Setup & Backend-Verifizierung

Android-native-System verwendet

Abschnitt mit dem Titel „Android-native-System verwendet“

Bei Android wird dieser Plugin verwendet Google Play Integrity Standard API:

  • prepareIntegrityToken während prepare()
  • requestStandardIntegrityToken für createAttestation() und createAssertion()

Anforderungen

Abschnitt mit dem Titel „Anforderungen“
  • Android-App wird über Google Play-Ökosystem verteilt
  • Google Play-Dienste sind auf Gerät verfügbar
  • Play Integrity API aktiviert für Ihre App
  • Google Cloud-Projekt-Nummer konfiguriert

Google-Einrichtung

Abschnitt mit dem Titel „Google-Einrichtung“
  1. Aktivieren Play Integrity API in Ihrem Google Cloud-Projekt.
  2. Öffnen Sie das Google Play Console und konfigurieren Sie den Zugriff auf Play Integrity für Ihre App.
  3. Bereitstellen cloudProjectNumber dem Plugin.

Capacitor-Konfiguration

Abschnitt mit dem Titel „Capacitor-Konfiguration“
capacitor.config.ts
plugins: {
  AppAttest: {
    cloudProjectNumber: '123456789012',
  },
}

Sie können auch einen cloudProjectNumber in der Methodeoption pro Aufruf.

Client-Fluss

Abschnitt mit dem Titel „Client-Fluss”
import { AppAttest } from '@capgo/capacitor-app-attest';


const { keyId } = await AppAttest.prepare({
  cloudProjectNumber: '123456789012',
});


const attestation = await AppAttest.createAttestation({
  keyId,
  challenge: 'backend-registration-challenge',
});


const assertion = await AppAttest.createAssertion({
  keyId,
  payload: 'backend-request-payload',
});

token ist ein Play-Integritäts-Token und muss serverseitig entschlüsselt werden.

Hintergrundablauf (Android)

Abschnitt mit dem Titel „Hintergrundablauf (Android)”

Registrierung (createAttestation)

Abschnitt mit dem Titel „Registrierung (createAttestation)”
  1. Hintergrund erstellt einmalig challenge.
  2. App ruft an createAttestation({ keyId, challenge }).
  3. Hintergrund ruft Google an decodeIntegrityToken API.
  4. Hintergrund überprüft mindestens:
    • requestDetails.requestHash === base64url(SHA256(challenge))
    • appIntegrity.packageName entspricht Ihrer Android-Anwendungs-ID
    • appIntegrity.certificateSha256Digest enthält Ihren Release-Signierungszertifikats-Digest
    • Integritätsurteile entsprechen Ihrer Sicherheitspolitik

Anfrage schützen (createAssertion)

Abschnitt mit dem Titel “Anfrage schützen (createAssertion)”
  1. Hintergrund erstellt einmalig payload.
  2. App ruft an createAssertion({ keyId, payload }).
  3. Hintergrund decodiert Token und überprüft requestHash === base64url(SHA256(payload)).
  4. Erforderliche Wiederholungsverhinderung (Einsatz + TTL) und Integritätsurteilsrichtlinie.

Android-Schema

Abschnitt mit dem Titel “Android-Schema”
sequenceDiagram
  participant App as Android App
  participant Plugin as AppAttest plugin
  participant PlaySDK as Play Integrity SDK
  participant BE as Backend
  participant Google as decodeIntegrityToken API


  App->>Plugin: prepare(cloudProjectNumber)
  Plugin->>PlaySDK: prepareIntegrityToken()
  PlaySDK-->>Plugin: provider handle (keyId)


  BE->>App: one-time challenge
  App->>Plugin: createAttestation(keyId, challenge)
  Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
  PlaySDK-->>Plugin: integrity token
  Plugin-->>App: token + platform + format + keyId
  App->>BE: token + challenge + keyId
  BE->>Google: decodeIntegrityToken(token)
  Google-->>BE: decoded payload
  BE->>BE: verify requestHash + app identity + verdicts


  BE->>App: one-time payload
  App->>Plugin: createAssertion(keyId, payload)
  Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
  PlaySDK-->>Plugin: integrity token
  App->>BE: token + payload + keyId
  BE->>Google: decodeIntegrityToken(token)
  Google-->>BE: decoded payload
  BE->>BE: verify requestHash + replay policy

Minimaler Backend-Payload-Vertrag

Abschnitt mit dem Titel “Minimaler Backend-Payload-Vertrag”

Registrierung: 

{
  "platform": "android",
  "format": "google-play-integrity-standard",
  "keyId": "string",
  "challenge": "string",
  "token": "string"
}

Behauptung: 

{
  "platform": "android",
  "format": "google-play-integrity-standard",
  "keyId": "string",
  "payload": "string",
  "token": "string"
}

Weitermachen von Android Setup & Backend-Verifizierung

Abschnitt mit dem Titel „Weitermachen von Android Setup & Backend-Verifizierung“

Wenn Sie " Android Setup & Backend-Verifizierung" verwenden um Sicherheit und Compliance zu planen, verbinden Sie es mit Mit @capgo/capacitor-app-attest für die native Fähigkeit in Mit @capgo/capacitor-app-attest Verschlüsselung für die Implementierungsdetails in Verschlüsselung Kongruenz für die Implementierungsdetails in Kongruenz Capgo Sicherheits-Scanner für den Produktworkflow in Capgo Sicherheits-Scanner Capgo Sicherheit für den Produktworkflow in Capgo Sicherheit.