Passer à la navigation

Getting Started

GitHub

Vous pouvez utiliser notre configuration assistée par l'IA pour installer le plugin. Ajoutez les Capgo compétences à votre outil IA à l'aide de la commande suivante :

Fenêtre de terminal
npx skills add https://github.com/Cap-go/capgo-skills --skill capacitor-plugins

Utilisez ensuite la prompt suivante :

Use the `capacitor-plugins` skill from `Cap-go/capgo-skills` to install the `@capgo/capacitor-app-attest` plugin in my project.

Si vous préférez la configuration manuelle, installez le plugin en exécutant les commandes suivantes et suivez les instructions spécifiques à la plateforme ci-dessous :

  1. Installer le package

    Fenêtre de terminal
    bun add @capgo/capacitor-app-attest
  2. Synchroniser les projets natifs

    Fenêtre de terminal
    bunx cap sync
  3. Configurer les exigences de la plateforme

    • Terminer Paramètres iOS pour la capacité d'attestation d'app et le flux de vérification backend.
    • Complet Paramètres Android pour le standard d'intégrité de Play et le flux de vérification backend.

This plugin provides one cross-platform API while keeping native platform security:

  • Android : Standard d'intégrité de Google Play __CAPGO_KEEP_0__DeviceCheck)
  • Android: Google Play Integrity Standard API
  • Sorties normalisées pour les vérifications backend
  • Pourquoi utiliser ce plugin
import { AppAttest } from '@capgo/capacitor-app-attest';
const support = await AppAttest.isSupported();
if (!support.isSupported) {
throw new Error(`Attestation not supported on ${support.platform}`);
}
const prepared = await AppAttest.prepare();
const registration = await AppAttest.createAttestation({
keyId: prepared.keyId,
challenge: 'backend-one-time-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId: prepared.keyId,
payload: 'backend-one-time-request-payload',
});
console.log(registration.platform, registration.format, registration.token);
console.log(assertion.platform, assertion.format, assertion.token);

createAttestation() et createAssertion() retourner les mêmes champs de clé sur iOS et Android :

ChampTypeDescription
platform'ios' | 'android' | 'web'Plateforme native qui a produit le jeton
formatAttestationFormatapple-app-attest ou google-play-integrity-standard
keyIdstringIdentifiant du fournisseur clé utilisé pour l'attestation
tokenstringJeton pour vérifier sur votre serveur

L'attestation n'est utile que lorsqu'elle est vérifiée côté serveur.

  • N'ayez jamais confiance dans le succès uniquement côté client.
  • Exigez des valeurs de défi/payload uniques de votre serveur.
  • Vérifier tokenUtilisez les guides de backend spécifiques à la plateforme :

Configuration iOS et vérification du backend

Si vous utilisez Démarrage pour planifier la sécurité et la conformité, connectez-le avec En utilisant @capgo/capacitor-app-attest pour la capacité native dans En utilisant @capgo/capacitor-app-attest, Chiffrement pour le détail d'implémentation dans Chiffrement, Conformité pour le détail d'implémentation dans Conformité, Capgo Scanner de sécurité pour le flux de produit dans Capgo Scanner de sécurité, et Capgo Sécurité pour le flux de produit dans Capgo Sécurité