Saltar al contenido

Inicio

GitHub

Puedes utilizar nuestra configuración asistida por IA para instalar el plugin. Agrega las Capgo habilidades a tu herramienta de IA utilizando el siguiente comando:

Ventana de terminal
npx skills add https://github.com/Cap-go/capgo-skills --skill capacitor-plugins

Luego utilice el siguiente prompt:

Use the `capacitor-plugins` skill from `Cap-go/capgo-skills` to install the `@capgo/capacitor-app-attest` plugin in my project.

Si prefiere la configuración manual, instale el plugin ejecutando los siguientes comandos y siguiendo las instrucciones específicas de la plataforma a continuación:

  1. Instalar el paquete

    Ventana de terminal
    bun add @capgo/capacitor-app-attest
  2. Sincronizar proyectos nativos

    Ventana de terminal
    bunx cap sync
  3. Configurar requisitos de plataforma

Este complemento proporciona una API de una sola plataforma cruzada mientras mantiene la seguridad de la plataforma nativa:

  • iOS: Apple App Attest (DeviceCheck)
  • Android: Google Play Integrity Standard API
  • No esquema de criptografía cliente personalizado
  • Salidas normalizadas para verificaciones de backend
import { AppAttest } from '@capgo/capacitor-app-attest';
const support = await AppAttest.isSupported();
if (!support.isSupported) {
throw new Error(`Attestation not supported on ${support.platform}`);
}
const prepared = await AppAttest.prepare();
const registration = await AppAttest.createAttestation({
keyId: prepared.keyId,
challenge: 'backend-one-time-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId: prepared.keyId,
payload: 'backend-one-time-request-payload',
});
console.log(registration.platform, registration.format, registration.token);
console.log(assertion.platform, assertion.format, assertion.token);

createAttestation() y createAssertion() devuelve los mismos campos clave en iOS y Android:

CampoTipoDescripción
platform'ios' | 'android' | 'web'Plataforma nativa que produjo el token
formatAttestationFormatapple-app-attest o google-play-integrity-standard
keyIdstringManejo de clave/proveedor utilizado para la attestación
tokenstringToken para verificar en tu backend

La attestación solo es útil cuando se verifica en el lado del servidor.

  • Nunca confíes en el éxito solo del lado del cliente.
  • Requiere valores de desafío/payload de una sola vez desde tu backend.
  • Verificar tokenUsa la lógica de protección de la identidad de la app, y la protección contra retransmisiones en la lógica del backend.

Usa las guías de backend específicas de la plataforma:

Si estás utilizando Getting Started para planificar la seguridad y la conformidad, conecta con Usando @capgo/capacitor-app-attest para la capacidad nativa en Usando @capgo/capacitor-app-attest, Cifrado para el detalle de implementación en Cifrado, Conformidad para el detalle de implementación en Conformidad, Capgo Escáner de Seguridad para el flujo de trabajo del producto en Capgo Escáner de Seguridad, y Capgo Seguridad para el flujo de trabajo del producto en Capgo Seguridad.