Zum Inhalt springen

Getting Started

GitHub

Sie können unser AI-gestütztes Setup verwenden, um das Plugin zu installieren. Fügen Sie die Capgo-Fähigkeiten zu Ihrem AI-Tool hinzu, indem Sie folgenden Befehl ausführen:

Terminalfenster
npx skills add https://github.com/Cap-go/capgo-skills --skill capacitor-plugins

Verwenden Sie dann die folgende Anweisung:

Use the `capacitor-plugins` skill from `Cap-go/capgo-skills` to install the `@capgo/capacitor-app-attest` plugin in my project.

Wenn Sie die manuelle Einrichtung bevorzugen, installieren Sie das Plugin, indem Sie die folgenden Befehle ausführen und folgen Sie den unten angegebenen Plattform-spezifischen Anweisungen:

  1. Das Paket installieren

    Terminal-Fenster
    bun add @capgo/capacitor-app-attest
  2. Synchronisieren Sie native Projekte

    Terminal-Fenster
    bunx cap sync
  3. Konfigurieren Sie die Plattformanforderungen

    • Abschließen iOS-Einrichtung für die App-Attest-Fähigkeit und den Backend-Verifizierungsfluss.
    • Vollständig Android-Einrichtung für das Google Play-Integritätsstandard und den Backend-Verifizierungsfluss.

Diese Erweiterung bietet eine Plattformübergreifende API während die native Plattform-Sicherheit beibehalten wird:

  • iOS: Apple App-Attest (DeviceCheck)
  • Android: Google Play-Integritätsstandard API
  • Keine benutzerdefinierte Client-Seitencrypto-Scheme
  • Normalisierte Ausgaben für Backend-Überprüfungen
import { AppAttest } from '@capgo/capacitor-app-attest';
const support = await AppAttest.isSupported();
if (!support.isSupported) {
throw new Error(`Attestation not supported on ${support.platform}`);
}
const prepared = await AppAttest.prepare();
const registration = await AppAttest.createAttestation({
keyId: prepared.keyId,
challenge: 'backend-one-time-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId: prepared.keyId,
payload: 'backend-one-time-request-payload',
});
console.log(registration.platform, registration.format, registration.token);
console.log(assertion.platform, assertion.format, assertion.token);

createAttestation() und createAssertion() die gleichen Schlüsselfelder auf iOS und Android zurückgeben:

FeldTypBeschreibung
platform'ios' | 'android' | 'web'Natives Betriebssystem, das den Token erzeugt hat
formatAttestationFormatapple-app-attest oder google-play-integrity-standard
keyIdstringSchlüssel/Anbieter-Handle zur Attestation
tokenstringToken zur Überprüfung auf Ihrem Backend

Die Attestation ist nur nützlich, wenn sie serverseitig überprüft wird.

  • Vertraue niemals nur auf den Erfolg des Clients.
  • Erstelle ein einmaliges Herausforderungs-/Payload-Wert von Ihrem Backend an.
  • Überprüfe tokenVerwende die Plattform-spezifischen Backend-Anleitungen:

iOS-Einrichtung und Backend-Verifizierung

Wenn Sie Using verwenden Getting Started um die Sicherheit und die Einhaltung der Vorschriften zu planen, verbinden Sie es mit Using @capgo/capacitor-app-attest für die native Fähigkeit in Using @capgo/capacitor-app-attest Verschlüsselung für die Implementierungsdetails in Verschlüsselung Einhaltung der Vorschriften für die Implementierungsdetails in Einhaltung der Vorschriften Capgo Sicherheits-Scanner für den Produktworkflow in Capgo Sicherheits-Scanner, und Capgo Sicherheit für den Produktworkflow in Capgo Sicherheit.