个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我的 Android 应用程序对我的后端进行了一些 REST 调用。我希望只有且只有我的应用程序有权调用端点。
我打算使用 Google 的 SafetyNet 来存档。
1) My app ask my server fora random nonce
2) My app ask for an .attest()
3) My app receive the JWT
4) My app call one of my endpoint by providing the JWT
5) My server calls Google server to verify the JWT is correct
6) If yes, the call is processed, rejected otherwise..
我的问题是:.attest() 是否有速率限制?我的应用程序将每 2 或 3 秒发出几个 POST 请求
上述逻辑是否适用于这种规模?有没有其他方法可以确保发布到我的端点的数据来 self 的应用程序并且仅来 self 的应用程序?
最佳答案
是的,如果您如此频繁地调用 attest(),您将受到限制。除了速率限制之外,您不希望像每隔几秒那样频繁地调用它,因为您可能会开始注意到不利的性能影响(API 调用在计算上很昂贵,而且速度不快)。
您描述的逻辑很好,但我建议您仔细考虑需要保护的特定端点操作。通常,将 SafetyNet 证明与特定的高值(value)操作(例如登录或支付交易)一起使用是合适的。对您发出的每个 POST 请求都这样做可能不会带来什么增量 yield 。
根据您的用例,documentation就如何使用 API 结果提出额外建议:
Ideally, you should use the SafetyNet Attestation API as an additional in-depth defense signal as part of an anti-abuse system, rather than the sole anti-abuse signal for your app.
关于Android 和 SafetyNet 以确保对 API 的调用仅来 self 的应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41153950/
25
4
0
当我尝试更新我的 时,我收到了来自 Play 商店的警告。 flutter 在游戏商店。 The developer of play-services-safetynet (com.google.an
我想使用 SafetyNet Attestation API (请注意,该文档似乎已过时,因为它使用的方法已被弃用)。使用最新版本的 Play Services (11.0.1) 我想出了以下代码:
我正在尝试通过 stackover 中的一位同事的引用来学习如何实现安全网。 SafetyNet: package name always return null 第一段代码是SafetyNetVer
只是尝试在 Android 应用程序中实现 SafetyNet 安全浏览 API 并阅读文档:https://developer.android.com/training/safetynet/safe
我正在根据 Google SafetyNet sample 实现 SafetyNet API和 SafetyNet Helper 这是我的工作代码。第一部分是我在 SafetyNetSampleFra
我正在使用 Google 客户端调用 SafetyNet Api,但它没有做出正确的响应。 SafetyNet.SafetyNetApi.attest(mGoogleApiClient, gen
我正在使用这个库: https://github.com/scottyab/safetynethelper 我已经阅读了 Android Deveoloper 站点和存储库中的文档。一切正常,但我不清
我在我的应用程序中使用 Google SafetyNet API 来检测设备篡改。引用::https://developers.google.com/android/reference/com/goo
我正在尝试了解 jwt 签名验证的工作原理。 这就是我目前的做法: 1) My app calls the attest api 2) My app sends the jwt to my serve
我的问题是 Google Safetynet 内置了什么样的重试逻辑,应用程序中应该构建什么样的重试逻辑?构建应用程序级逻辑的最佳实践是什么? 我在 Android 应用程序和 Web 后端服务中使用
我正在调查 Google 在我的 Android 应用程序中提供的 SafetyNet。 首先,我简单地调用了 SafetyNet 证明 API,然后 Base64 解码了 Google 提供的示例中
我们应用中的 Safetynet 调用在生产环境中经常失败。我们认为最近消费者流量的激增和 Safetynet API 的限制可能是导致此问题的原因。 “如果每分钟触发超过 5 次调用,则超出了 AP
我有一个应用一直在使用 SafetyNet Attestation API一段时间。 突然间,对 API 的所有调用都开始失败。 SafetyNet Attestation API 发生了什么事吗?
我已成功为 SafetyNet 认证创建后端服务和 Android 客户端。当我将 jws token 发送到我的服务器并尝试验证它的证书时,结果发现没有签署它的证书。 我应该向我的 Android
我正在尝试将我的应用程序投入生产,但不断收到不允许我将我的应用程序部署到生产环境的“警告”/错误。 Critical issues have been reported with the follow
我已经成功实现了 Google SafetyNet API,甚至得到了成功的响应。问题是 JWSResult来自 AttestationResponse是一个散列字符串,而我的期望是得到一个 JSON
我们有关注Scottyab Safetynet Library . 虽然我们的 Android 设备中包名称为 com.safetynet.sampleStatus{statusCode=NETWOR
检查 SafetyNet 失败并出现错误(如下)。相反,recapcha 会在浏览器打开时触发。 如果有人遇到,请帮忙。您需要的所有信息都在下面。 授权码: Future _submitPhone
我的 Android 应用程序对我的后端进行了一些 REST 调用。我希望只有且只有我的应用程序有权调用端点。 我打算使用 Google 的 SafetyNet 来存档。 1) My app ask
当对 API key 设置限制时,Attestation API 停止工作:OnFailureListener 被 CANCELLED 触发(16)状态码 限制是android包名和证书签名(SHA-
我是一名优秀的程序员,十分优秀!