在移动生态系统中，滥用行为可能会威胁到您的收入、增长和用户信任度。为了帮助开发者蓬勃发展，Google Play 提供了一项可靠的威胁检测服务，即 Play Integrity API。Play Integrity API 可帮助您验证互动和服务器请求是否真实，即来自经过认证的 Android 设备上运行的未经修改的应用（通过 Google Play 安装）。

效果非常显著：平均而言，使用 Play Integrity 功能的应用出现未经授权使用的情况比未使用该功能的应用少 80%。如今，Uber、TikTok、Stripe、Kabam、Wooga、Radar.com、Zimperium、Paytm 和 Remini 等不同类别的领先企业都在使用它来帮助保护自己的业务。

我们将继续改进 Play Integrity API，使其更易于集成，更能抵御复杂的攻击，并能通过新的 Play 应用内补救提示更好地恢复不符合完整性标准或遇到错误的用户。

检测业务面临的威胁

Play Integrity API 提供旨在检测特定威胁的判定结果，这些威胁会在关键互动期间影响您的盈利。

• 未经授权的访问：accountDetails 判定有助于您确定用户是否在 Google Play 上安装或购买了您的应用或游戏。
• 代码篡改：appIntegrity 判定有助于您确定自己是否正在与 Google Play 可识别到的未经修改的二进制文件进行互动。
• 存在风险的设备和模拟环境：deviceIntegrity 判定结果可帮助您确定应用是在已获得 Play 保护机制认证的正版 Android 设备上运行，还是在 Google Play 游戏电脑版的正版实例上运行。
• 未打补丁的设备：对于搭载 Android 13 及更高版本的设备，deviceIntegrity 判决中的 MEETS_STRONG_INTEGRITY 响应有助于您确定设备是否已应用最新的安全更新。您还可以选择启用 deviceAttributes，以便在响应中包含经过证明的 Android SDK 版本。
• 其他应用的风险访问：appAccessRiskVerdict 可帮助您确定是否有正在运行的应用可能会用于截屏、显示叠加层或控制设备（例如，通过滥用无障碍服务权限）。此判定结果会自动排除用于实现真正无障碍用途的应用。
• 已知恶意软件：playProtectVerdict 可帮助您确定 Google Play 保护机制是否已开启，以及是否发现设备上安装了存在风险或危险的应用。
• 过度活跃：recentDeviceActivity 级别有助于您确定设备最近是否发出了数量异常高的完整性令牌请求，这可能表明存在自动流量，也可能是遭受攻击的迹象。
• 重复滥用和重复使用的设备： deviceRecall（Beta 版）可帮助您确定自己是否在与之前标记过的设备互动，即使您的应用已重新安装或设备已重置也是如此。借助设备回想功能，您可以自定义要跟踪的重复操作。

该 API 可用于各种 Android 设备规格，包括手机、平板电脑、可折叠设备、Android Auto、Android TV、Android XR、ChromeOS、Wear OS，以及 Google Play 游戏电脑版。

充分利用 Play Integrity API

应用和游戏遵循安全注意事项并采取分阶段的反滥用策略，成功利用了 Play Integrity API。

第 1 步：确定要保护的内容：确定应用和游戏中的哪些操作和服务器请求需要验证和保护。例如，您可以在用户启动应用、登录、加入多人游戏、生成 AI 内容或转账时执行完整性检查。

第 2 步：收集完整性判定结果响应：在重要时刻执行完整性检查，开始收集判定结果数据，但最初不强制执行。这样，您就可以分析安装群体的回答，并了解这些回答与现有的滥用信号和历史滥用数据之间的相关性。

第 3 步：确定违规处置策略：根据您对回答的分析以及您要保护的内容，确定违规处置策略。例如，您可以在重要时刻更改风险流量，以保护敏感功能。该 API 提供了一系列响应，因此您可以根据对每种响应组合的信任程度来实施分层强制执行策略。

第 4 步：逐步推出强制执行措施并为用户提供支持：逐步推出强制执行措施。在判决出现问题或不可用时，制定重试策略，并准备好为遇到问题的优质用户提供支持。借助下文所述的全新 Play 应用内补救提示，您可以比以往更轻松地帮助遇到问题的用户恢复正常状态。

新功能：让 Play 自动恢复遇到问题的用户

决定如何响应不同的完整性信号可能很复杂，您需要处理各种完整性响应和 API 错误代码（例如网络问题或过时的 Play 服务）。我们推出了新的 Play 应用内补救提示，以简化此流程。您可以向用户显示 Google Play 提示，以便在应用内直接自动修复各种问题。这样可以降低集成复杂性，确保用户界面一致，并帮助更多用户恢复到良好状态。

GET_INTEGRITY 会自动检测问题（在本示例中为网络错误）并解决该问题。

在出现一系列问题后，您可以触发 Play Integrity API 库版本 1.5.0 及更高版本中提供的  GET_INTEGRITY 对话框，以自动引导用户完成必要的修复，包括：

• 未经授权的访问： GET_INTEGRITY 会引导用户返回到 accountDetails 中的 Play 许可响应。
• 代码篡改：GET_INTEGRITY 会引导用户返回到 appIntegrity 中的 Play 认可的响应。
• 设备完整性问题：GET_INTEGRITY 会引导用户了解如何在 deviceIntegrity 中恢复到 MEETS_DEVICE_INTEGRITY 状态。
• 可修正的错误代码：GET_INTEGRITY 可解决可修正的 API 错误，例如提示用户修复网络连接或更新 Google Play 服务。

我们还提供专用对话框，包括  GET_STRONG_INTEGRITY（与 GET_INTEGRITY 类似，但也会让用户恢复到 MEETS_STRONG_INTEGRITY 状态，且 playProtectVerdict 中没有已知的恶意软件问题）、GET_LICENSED（让用户恢复到 Play 许可状态和 Play 识别状态）、CLOSE_UNKNOWN_ACCESS_RISK 和 CLOSE_ALL_ACCESS_RISK（提示用户关闭可能存在风险的应用）。

选择现代化的完整性解决方案

除了 Play Integrity API 之外，Google 还提供了其他几项功能，您可以考虑将这些功能纳入到整体反滥用策略中。Play Integrity API 和 Google Play 的自动保护功能均可为应用分发提供用户体验和开发者优势。我们建议现有应用迁移到这些现代完整性解决方案，而不是使用旧版 Play Licensing 库。

自动保护： 借助 Google Play 的自动保护功能，防止未经授权的访问，并确保用户能够持续收到您的官方应用更新。开启此功能后，Google Play 会自动在您的应用代码中添加安装程序检查功能，无需开发者进行任何集成工作。如果您的受保护应用通过其他渠道再分发或分享，系统会提示用户从 Google Play 获取您的应用。符合条件的 Google Play 开发者还可以使用 Google Play 的高级防篡改保护功能，该功能通过混淆和运行时检查，让攻击者更难修改和再分发受保护的应用，并提高攻击成本。

Android 平台密钥认证： 建议使用 Play Integrity API 来利用由硬件支持的 Android 平台密钥认证。Play Integrity API 可处理整个设备生态系统中的底层实现，Play 会自动缓解与密钥相关的问题和中断，您可以使用该 API 检测其他威胁。直接实现密钥认证而非依赖 Play Integrity API 的开发者应为 2026 年 2 月即将到来的 Android 平台根证书轮换做好准备，以免出现中断（使用 Play Integrity API 的开发者无需采取任何行动）。

Firebase App Check：使用 Firebase 的开发者可以使用 Firebase App Check 在经过认证的 Android 设备上接收由 Play Integrity API 提供支持的应用和设备完整性判定结果，以及来自其他平台证明提供方的响应。如需检测所有其他威胁并使用其他 Play 功能，请直接集成 Play Integrity API。

reCAPTCHA Enterprise：寻求完整的欺诈和机器人管理解决方案的企业客户可以购买移动版 reCAPTCHA Enterprise。reCAPTCHA Enterprise 使用 Play Integrity API 的部分滥用防范信号，并将这些信号与 reCAPTCHA 信号相结合，实现开箱即用。

立即为您的企业保驾护航

Play Integrity API 具有由硬件支持的强大安全基础，并新增了可简化集成的自动补救对话框，是保护您业务增长的必备工具。

开始使用 Play Integrity API 文档。