我被指示在应用程序中实现API SafetyNet Attestation,并且对验证令牌存在一些担忧。
我们创建了一个端点,它将返回在服务器端生成的随机数,其中将包含稍后要验证的混合信息的哈希值。
我们需要实现令牌验证器以在服务器端运行,它基本上是OfflineVerify.javagoogle here提供的复制和粘贴。
问题是我不确定是否可以伪造这个令牌/x509 证书。根据 Attestation 文档,我们需要检查证书中的主机名是否应该与attest.android.com匹配,并且我们还可以验证有效负载中存在的其他信息以及 nonce。
我不是密码学/证书方面的专家,但我们不需要私钥来验证证书吗?
是否有人可以创建 x509 证书,将其主机名设置为attest.android.com和其他字段,就像从谷歌返回的一样,并生成一个可以通过的真正令牌OfflineVerify.java?
我真的很感激对此的任何见解。
谢谢