Saltar al contenido

Configuración de Android y verificación de backend

GitHub

En Android, este plugin utiliza El estándar de integridad de Google Play API:

  • prepareIntegrityToken durante prepare()
  • requestStandardIntegrityToken para createAttestation() y createAssertion()
  • Aplicación de Android distribuida a través del ecosistema de Google Play
  • Servicios de Google Play disponibles en el dispositivo
  • Play Integrity API habilitado para tu aplicación
  • Número de proyecto de Google Cloud configurado
  1. Habilitar Play Integrity API en tu proyecto de Google Cloud.
  2. Abra el Console de Play y configure el acceso a la integridad de Play para su aplicación.
  3. Proporcione cloudProjectNumber al plugin.
capacitor.config.ts
plugins: {
AppAttest: {
cloudProjectNumber: '123456789012',
},
}

También puede pasar cloudProjectNumber por llamada en opciones de método.

import { AppAttest } from '@capgo/capacitor-app-attest';
const { keyId } = await AppAttest.prepare({
cloudProjectNumber: '123456789012',
});
const attestation = await AppAttest.createAttestation({
keyId,
challenge: 'backend-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId,
payload: 'backend-request-payload',
});

token es un token de integridad de Play y debe ser descodificado en el lado del servidor.

  1. El backend crea un token de una sola vez challenge.
  2. La aplicación llama createAttestation({ keyId, challenge }).
  3. El backend llama a Google decodeIntegrityToken API.
  4. El backend verifica al menos:
    • requestDetails.requestHash === base64url(SHA256(challenge))
    • appIntegrity.packageName es igual a su identificador de aplicación Android
    • appIntegrity.certificateSha256Digest contiene el digest del certificado de firma de lanzamiento
    • veredictos de integridad coinciden con tu política de seguridad
  1. El backend crea uno de uso único payload.
  2. La aplicación llama createAssertion({ keyId, payload }).
  3. El backend descifra el token y verifica requestHash === base64url(SHA256(payload)).
  4. Aplica la prevención de retransmisión (uso único + TTL) y política de veredictos de integridad.
sequenceDiagram
participant App as Android App
participant Plugin as AppAttest plugin
participant PlaySDK as Play Integrity SDK
participant BE as Backend
participant Google as decodeIntegrityToken API
App->>Plugin: prepare(cloudProjectNumber)
Plugin->>PlaySDK: prepareIntegrityToken()
PlaySDK-->>Plugin: provider handle (keyId)
BE->>App: one-time challenge
App->>Plugin: createAttestation(keyId, challenge)
Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
PlaySDK-->>Plugin: integrity token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + challenge + keyId
BE->>Google: decodeIntegrityToken(token)
Google-->>BE: decoded payload
BE->>BE: verify requestHash + app identity + verdicts
BE->>App: one-time payload
App->>Plugin: createAssertion(keyId, payload)
Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
PlaySDK-->>Plugin: integrity token
App->>BE: token + payload + keyId
BE->>Google: decodeIntegrityToken(token)
Google-->>BE: decoded payload
BE->>BE: verify requestHash + replay policy

Registro:

{
"platform": "android",
"format": "google-play-integrity-standard",
"keyId": "string",
"challenge": "string",
"token": "string"
}

Declaración:

{
"platform": "android",
"format": "google-play-integrity-standard",
"keyId": "string",
"payload": "string",
"token": "string"
}

Continúa desde la configuración de Android y la verificación del backend

Sección titulada “Continúa desde la configuración de Android y la verificación del backend”

Si estás utilizando Configuración de Android y verificación del backend para planificar la seguridad y la conformidad, conecta con Usando @capgo/capacitor-app-attest para la capacidad nativa en Usando @capgo/capacitor-app-attest, Cifrado para el detalle de implementación en Criptografía, Cumplimiento para el detalle de implementación en Cumplimiento, Capgo Escáner de Seguridad para el flujo de trabajo del producto en Capgo Escáner de Seguridad, y Capgo Seguridad para el flujo de trabajo del producto en Capgo Seguridad.