Saltar al contenido
Capgo - Actualizaciones en vivo para Capacitor Apps Capgo

Configuración de Android y verificación de backend

GitHub

Se utiliza el sistema nativo de Android

Sección titulada “Se utiliza el sistema nativo de Android”

En Android, este plugin utiliza El estándar de integridad de Google Play API:

  • prepareIntegrityToken durante prepare()
  • requestStandardIntegrityToken para createAttestation() y createAssertion()

Requisitos

Sección titulada “Requisitos”
  • Aplicación de Android distribuida a través del ecosistema de Google Play
  • Servicios de Google Play disponibles en el dispositivo
  • Integridad de Play API habilitada para tu aplicación
  • Número de proyecto de Google Cloud configurado

Configuración de Google

Sección titulada “Configuración de Google”
  1. Habilitar Integridad de Play API en tu proyecto de Cloud de Google.
  2. Abre la consola de Play y configura el acceso de Integridad de Play para tu aplicación.
  3. Proporciona cloudProjectNumber al plugin.

Capacitor config

Sección titulada “Capacitor config”
capacitor.config.ts
plugins: {
  AppAttest: {
    cloudProjectNumber: '123456789012',
  },
}

También puedes pasar cloudProjectNumber por llamada en opciones de método.

Flujo del cliente

Flujo del cliente
import { AppAttest } from '@capgo/capacitor-app-attest';


const { keyId } = await AppAttest.prepare({
  cloudProjectNumber: '123456789012',
});


const attestation = await AppAttest.createAttestation({
  keyId,
  challenge: 'backend-registration-challenge',
});


const assertion = await AppAttest.createAssertion({
  keyId,
  payload: 'backend-request-payload',
});

token es un token de integridad de Play y debe ser descodificado en el lado del servidor.

Flujo de trabajo de backend (Android)

Flujo de trabajo de backend (Android)

Registro (createAttestation)

Flujo de trabajo de registro (createAttestation)
  1. El backend crea un token de una sola vez challenge.
  2. La aplicación llama createAttestation({ keyId, challenge }).
  3. El backend llama a Google decodeIntegrityToken API.
  4. El backend verifica al menos:
    • requestDetails.requestHash === base64url(SHA256(challenge))
    • appIntegrity.packageName es igual a su identificador de aplicación Android
    • appIntegrity.certificateSha256Digest contiene el digest de certificado de firma de lanzamiento
    • los veredictos de integridad coinciden con su política de seguridad

Protección de solicitudes (createAssertion)

Sección titulada “Protección de solicitudes (createAssertion)”
  1. El backend crea uno de uso único payload.
  2. La aplicación llama createAssertion({ keyId, payload }).
  3. El backend descifra el token y verifica requestHash === base64url(SHA256(payload)).
  4. Aplicar prevención de retransmisión (uso único + TTL) y política de veredictos de integridad.

Esquema de Android

Sección titulada “Esquema de Android”
sequenceDiagram
  participant App as Android App
  participant Plugin as AppAttest plugin
  participant PlaySDK as Play Integrity SDK
  participant BE as Backend
  participant Google as decodeIntegrityToken API


  App->>Plugin: prepare(cloudProjectNumber)
  Plugin->>PlaySDK: prepareIntegrityToken()
  PlaySDK-->>Plugin: provider handle (keyId)


  BE->>App: one-time challenge
  App->>Plugin: createAttestation(keyId, challenge)
  Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
  PlaySDK-->>Plugin: integrity token
  Plugin-->>App: token + platform + format + keyId
  App->>BE: token + challenge + keyId
  BE->>Google: decodeIntegrityToken(token)
  Google-->>BE: decoded payload
  BE->>BE: verify requestHash + app identity + verdicts


  BE->>App: one-time payload
  App->>Plugin: createAssertion(keyId, payload)
  Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
  PlaySDK-->>Plugin: integrity token
  App->>BE: token + payload + keyId
  BE->>Google: decodeIntegrityToken(token)
  Google-->>BE: decoded payload
  BE->>BE: verify requestHash + replay policy

Contrato de pago backend mínimo

Sección titulada “Contrato de pago backend mínimo”

Registro:

{
  "platform": "android",
  "format": "google-play-integrity-standard",
  "keyId": "string",
  "challenge": "string",
  "token": "string"
}

Declaración:

{
  "platform": "android",
  "format": "google-play-integrity-standard",
  "keyId": "string",
  "payload": "string",
  "token": "string"
}

Continuar desde la configuración de Android y la verificación del backend

Sección titulada “Continuar desde la configuración de Android y la verificación del backend”

Si estás utilizando Configuración de Android y verificación del backend para planificar la seguridad y la conformidad, conecta con Usando @capgo/capacitor-app-attest para la capacidad nativa en Usando @capgo/capacitor-app-attest, Cifrado para el detalle de implementación en Cifrado, Cumplimiento para el detalle de implementación en Cumplimiento, Capgo Escáner de Seguridad para el flujo de trabajo del producto en Capgo Escáner de Seguridad, y Capgo Seguridad para el flujo de trabajo del producto en Capgo Seguridad.