Saltare al contenuto

Setup & Verifica Backend di Android

GitHub

Su Android, questo plugin utilizza Standard di integrità di Google Play API:

  • prepareIntegrityToken durante prepare()
  • requestStandardIntegrityToken per createAttestation() e createAssertion()
  • App Android distribuita attraverso l'ecosistema di Google Play
  • Servizi Google disponibili sul dispositivo
  • Play Integrity API abilitato per il tuo app
  • Numero del progetto Google Cloud configurato
  1. Abilita Play Integrity API nel tuo progetto Google Cloud.
  2. Apri il Console di Gioco e configura l'accesso all'integrità di Gioco per la tua app.
  3. Fornisci cloudProjectNumber al plugin.
capacitor.config.ts
plugins: {
AppAttest: {
cloudProjectNumber: '123456789012',
},
}

Puoi anche passare cloudProjectNumber per chiamata in opzioni di metodo.

import { AppAttest } from '@capgo/capacitor-app-attest';
const { keyId } = await AppAttest.prepare({
cloudProjectNumber: '123456789012',
});
const attestation = await AppAttest.createAttestation({
keyId,
challenge: 'backend-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId,
payload: 'backend-request-payload',
});

token è un token di integrità Play e deve essere decodificato sul lato server.

  1. Il backend crea un token unico challenge.
  2. L'app chiama createAttestation({ keyId, challenge }).
  3. Il backend chiama Google decodeIntegrityToken API.
  4. Il backend verifica almeno:
    • requestDetails.requestHash === base64url(SHA256(challenge))
    • appIntegrity.packageName è uguale all'ID dell'applicazione Android
    • appIntegrity.certificateSha256Digest contiene il digest del certificato di firma di rilascio dell'applicazione Android
    • verdicts di integrità corrispondono alla tua politica di sicurezza
  1. Backend crea un token unico payload.
  2. L'app chiama createAssertion({ keyId, payload }).
  3. Backend decodifica il token e controlla requestHash === base64url(SHA256(payload)).
  4. Imposta la prevenzione della riproduzione (uso singolo + TTL) e la politica dei verdict di integrità.
sequenceDiagram
participant App as Android App
participant Plugin as AppAttest plugin
participant PlaySDK as Play Integrity SDK
participant BE as Backend
participant Google as decodeIntegrityToken API
App->>Plugin: prepare(cloudProjectNumber)
Plugin->>PlaySDK: prepareIntegrityToken()
PlaySDK-->>Plugin: provider handle (keyId)
BE->>App: one-time challenge
App->>Plugin: createAttestation(keyId, challenge)
Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
PlaySDK-->>Plugin: integrity token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + challenge + keyId
BE->>Google: decodeIntegrityToken(token)
Google-->>BE: decoded payload
BE->>BE: verify requestHash + app identity + verdicts
BE->>App: one-time payload
App->>Plugin: createAssertion(keyId, payload)
Plugin->>PlaySDK: requestStandardIntegrityToken(requestHash)
PlaySDK-->>Plugin: integrity token
App->>BE: token + payload + keyId
BE->>Google: decodeIntegrityToken(token)
Google-->>BE: decoded payload
BE->>BE: verify requestHash + replay policy

Registrazione:

{
"platform": "android",
"format": "google-play-integrity-standard",
"keyId": "string",
"challenge": "string",
"token": "string"
}

Affermazione:

{
"platform": "android",
"format": "google-play-integrity-standard",
"keyId": "string",
"payload": "string",
"token": "string"
}

Se stai utilizzando Android Setup & Verifica del backend per pianificare la sicurezza e la conformità, connettilo con Utilizza @capgo/capacitor-app-attest per la capacità nativa in Utilizza @capgo/capacitor-app-attest, Crittografia per i dettagli di implementazione in Encryption, Compliance per i dettagli di implementazione in Compliance, Capgo Scanner di Sicurezza per il flusso di lavoro del prodotto in Capgo Scanner di Sicurezza, e Capgo Sicurezza per il flusso di lavoro del prodotto in Capgo Sicurezza.