AppIntegrity
一个库,提供在 Android 上访问 Google 的 Play Integrity API,以及在 iOS 上访问 Apple 的 App Attest 服务。
For the complete documentation index, see llms.txt. Use this Use this file to discover all available pages.
@expo/app-integrity 提供了一组 API,帮助确保你的后端资源只会被运行在真实设备上的合法应用安装访问。它在 Android 上使用 Google 的 Play Integrity APIs,在 iOS 上使用 Apple 的 App Attest 服务 来验证应用真实性,从而帮助防止未经授权的客户端、被修改的应用或自动化脚本向你的服务器发起请求。
一般来说,@expo/app-integrity 可以帮助你的服务器区分:
- 运行在真实设备上的真实应用
- 其他任何东西(被修改的应用、脚本、模拟器)
它通过使用平台推荐的应用证明服务来实现这一点。
安装
- npx expo install @expo/app-integrityIf you are installing this in an existing React Native app, make sure to install expo in your project.
Android 上的使用
@expo/app-integrity 使用 Play Integrity 的 标准请求流程 进行完整性检查。
配置
请参阅 Play Integrity 设置指南,了解如何在你的应用中启用完整性 API。
准备完整性令牌提供器(一次性)
在发起完整性检查请求之前,你需要先准备完整性令牌提供器。你可以在应用启动时执行此操作,或者在需要完整性检查之前在后台完成。
import * as AppIntegrity from '@expo/app-integrity'; const cloudProjectNumber = 'your-cloud-project-number'; await AppIntegrity.prepareIntegrityTokenProviderAsync(cloudProjectNumber);
请求完整性令牌(按需)
每当你的应用发起你希望验证其真实性的服务器请求时,你都需要请求一个完整性令牌,并将其发送到应用的后端服务器进行解密和验证。然后,你的后端服务器可以决定如何处理。
const requestHash = '2cp24z...'; const result = await AppIntegrity.requestIntegrityCheckAsync(requestHash);
在调用 requestIntegrityCheckAsync 之前,请确保 prepareIntegrityTokenProviderAsync 已成功调用。
在这个例子中,requestHash 是与被验证的特定用户操作唯一对应的哈希值。你可以针对不同的用户操作,使用不同的哈希多次调用 requestIntegrityCheckAsync。
成功后,将结果发送到你的服务器进行验证。
注意:如果你的应用长时间使用同一个令牌提供器,令牌提供器可能会过期,这会在下一次令牌请求时导致
ERR_APP_INTEGRITY_PROVIDER_INVALID错误。你应该通过再次调用prepareIntegrityTokenProviderAsync来请求新的提供器,从而处理此错误。
解密并验证完整性结果
请参阅 Play Integrity 指南,了解如何在服务器上验证完整性令牌。
其他资源
-
Google Pay Integrity 文档:请参阅 Google 官方指南,了解支撑
@expo/app-integrity的 API 和验证流程。 -
Play Integrity 标准请求流程:此页面描述了如何发起标准 API 请求以获取完整性结果,该功能支持 Android 5.0(API 级别 21)及更高版本。只要你的应用正在发起服务器调用以检查交互是否真实,就可以发起标准 API 请求获取完整性结果。
-
关于完整性结果:完整性结果会传达设备、应用和账户的有效性信息。你的应用服务器可以使用解密并验证后的结果载荷来决定如何针对应用中的某个特定操作或请求进行处理。
-
处理错误代码:如果你的应用发起 Play Integrity API 请求且调用失败,应用会收到一个错误代码。这些错误可能由多种原因导致,例如网络连接较弱等环境问题、你的 API 集成存在问题,或者恶意活动和主动攻击。
iOS 上的使用
配置
在 Xcode 中,前往 Signing & Capabilities,点击 + Capability,添加 App Attest。Xcode 会自动为你的应用添加所需的 entitlement。
注意:要使用 App Attest 服务,你的应用必须拥有一个你在 Apple Developer 网站上注册的 App ID。
有关服务器端的验证逻辑,请参阅 验证连接到你服务器的应用。
检查设备是否支持应用证明
并非所有设备都能使用 App Attest 服务,因此在访问该服务之前,先让应用执行兼容性检查非常重要。如果用户的应用未通过兼容性检查,请优雅地绕过该服务。你可以通过读取 isSupported 属性来检查可用性。
import * as AppIntegrity from '@expo/app-integrity'; if (AppIntegrity.isSupported) { // 执行密钥生成和证明。 } // 继续访问你的服务器 API。
注意:iOS 模拟器不支持 App Attest。
大多数应用扩展不支持 App Attest。通常,在这些扩展中执行代码时,应绕过密钥生成和证明,即使isSupported方法属性为true也是如此。唯一支持 App Attest 的应用扩展是 watchOS 9 或更高版本中的 watchOS 扩展。对于这些扩展,你可以使用isSupported的结果来指示你的 WatchKit 扩展是否绕过证明。
创建密钥对
对于在你的应用中运行的每个设备上的每个用户账户,通过调用 generateKey 方法生成一个唯一的、基于硬件的加密密钥对。
const keyId = await AppIntegrity.generateKeyAsync();
成功后,该方法会返回一个密钥标识符(keyId),你稍后会用它来访问该密钥。请将该标识符记录到持久化存储中,因为没有标识符就无法使用该密钥,而且之后也无法再获取该标识符。设备会自动将关联的私钥存储在 Secure Enclave 中,App Attest 服务可以利用它创建签名,但任何进程都无法直接读取或修改它,从而确保其安全性。
如果你在 App Clip 中创建了一个密钥对,请在对应的完整应用中使用同一个密钥对。为此,请务必将该标识符存储在完整应用可访问的共享容器中。请参阅 Expo 关于使用 expo-sqlite 在应用/扩展之间共享数据库的指南,或者使用 React Native MMKV 的 App Groups / extensions 共享存储,将该标识符持久化到两个目标中。
不要在同一设备上的多个用户之间重复使用同一个密钥,因为这会削弱安全保护。尤其是,这会让检测某种攻击变得困难:攻击者使用一台被攻陷的设备为多个远程用户提供一个被篡改版本的应用。更多信息请参阅 评估欺诈风险。
从服务器获取挑战值
从你的服务器请求一个唯一的一次性挑战值。该挑战值会嵌入到下面的证明步骤中,确保攻击者无法重复使用它。挑战值应至少有 16 字节长,以提供足够的熵,使其难以被猜测。
将密钥对认证为有效
将 keyId 与前面步骤中从服务器生成的挑战值一起传递给 attestKey 方法,如下所示:
const attestationObject = await AppIntegrity.attestKeyAsync(keyId, challenge);
成功后,将收到的 attestationObject 和 keyId 发送到你的服务器进行验证。
如果该方法返回 ERR_APP_INTEGRITY_SERVER_UNAVAILABLE 错误,请稍后使用相同的密钥再次尝试证明。对于其他任何错误,请丢弃该密钥标识符,并在下次重试时创建一个新密钥。
如果你的应用已经拥有数百万日活用户,并且你想开始调用attestKey方法从应用中发起证明,请查阅 准备使用 app attest 服务 以了解如何安全地逐步放量给用户。
如果服务器能够成功验证证明对象,则会认为该应用实例有效。在这种情况下,请务必持久化存储密钥标识符 — 而不是证明对象 — 以便将来在你的应用中为服务器请求签名。
为敏感请求生成断言
在成功验证某个密钥的证明后,服务器可以要求应用在未来的全部或部分服务器请求中对其合法性进行断言。应用通过对请求进行签名来完成这一点。在应用中,需要从服务器获取一个唯一的一次性挑战值。这里使用挑战值和证明时一样,是为了避免重放攻击。
const challenge = 'A string from your server'; const request = { action: 'getGameLevel', levelId: '1234', challenge: challenge, }; const assertion = await AppIntegrity.generateAssertionAsync(keyId, JSON.stringify(request));
成功后,将断言对象以及客户端数据一起传递给服务器。如果断言对象验证失败,应由你来决定如何处理该请求。
对于使用同一个密钥可生成的断言数量没有限制。不过,通常你会将断言保留给应用生命周期中比较敏感时刻发出的请求,例如应用下载高级内容时。
在重新安装后重新开始
你生成的密钥在常规应用更新期间仍然有效,但在应用重新安装、设备迁移或从备份恢复设备后不会保留。在这些情况下,你需要从头开始并生成一个新密钥。尽量只在这些事件发生时,或者在新增用户时,才生成新密钥。保持设备上的密钥数量较少,有助于在尝试检测某些欺诈行为时提高效果。
其他资源
-
Apple 的 App Attest 文档:请参阅 Apple 官方指南,了解支撑
@expo/app-integrity的 API 和验证流程。 -
验证连接到你服务器的应用:在你的服务器上验证应用证明和断言。
-
评估欺诈风险:使用服务器到服务器调用请求并分析风险数据。
-
准备使用 app attest 服务:在开发环境中测试你的实现,并逐步引导用户。
API
import * as AppIntegrity from '@expo/app-integrity';
Constants
Type: boolean
A boolean value that indicates whether a particular device provides the App Attest service. Not all device types support the App Attest service, so check for support before using the service.
Methods
| Parameter | Type | Description |
|---|---|---|
| keyId | string | The identifier you received by calling the |
| challenge | string | A challenge string from your server. |
Asks Apple to attest to the validity of a generated cryptographic key.
Promise<string>A Promise that is fulfilled with a string that contains the attestation data. A statement from Apple about the validity of the key associated with keyId. Send this to your server for processing.
| Parameter | Type | Description |
|---|---|---|
| keyId | string | The identifier you received by calling the |
| challenge | string | A string to be signed with the attested private key. |
Creates a block of data that demonstrates the legitimacy of an instance of your app running on a device.
Promise<string>A Promise that is fulfilled with a string that contains the assertion object. A data structure that you send to your server for processing.
| Parameter | Type | Description |
|---|---|---|
| keyAlias | string | A unique identifier for the key. |
| challenge | string | A challenge string from your server. |
Generates a hardware-attested key pair in the Android Keystore. This key can be used for attestation on GrapheneOS and other secure Android distributions.
Promise<void>A Promise that resolves when the key is generated successfully.
Creates a new cryptographic key for use with the App Attest service.
Promise<string>A Promise that is fulfilled with a string that contains the key identifier. The key itself is stored securely in the Secure Enclave.
| Parameter | Type | Description |
|---|---|---|
| keyAlias | string | The identifier of the key to get certificates for. |
Retrieves the attestation certificate chain for a hardware-attested key. The certificate chain can be validated on your server to verify device integrity.
Promise<string[]>A Promise that is fulfilled with an array of base64-encoded X.509 certificates.
Checks if hardware attestation is supported on this device.
Promise<boolean>A Promise that is fulfilled with a boolean indicating support.
| Parameter | Type | Description |
|---|---|---|
| cloudProjectNumber | string | The cloud project number. |
Prepares the integrity token provider for the given cloud project number.
Promise<void>A Promise that is fulfilled if the integrity token provider is prepared successfully.
| Parameter | Type | Description |
|---|---|---|
| requestHash | string | A string representing the request hash. |
Requests an integrity verdict for the given request hash from Google Play.
Promise<string>A Promise that is fulfilled with a string that contains the integrity check result.