问题标签 [safetynet]

我在 Google Play 中有手机号码验证应用程序。但是当我从 Google Play 安装它时，它会写“这个请求缺少一个有效的应用标识符，这意味着安全网检查和 reCAPTCHA 检查都没有成功。”

当我从播放控制台（原始包和分发包）下载 apk 文件时，原始包可以正常工作，但分发包会写入此错误消息。

因此，所有内容都被激活并根据需要进行设置（我认为）只有一个区别是我使用相同的击键文件进行调试和发布。

应用程序是用 Cordova 编写的

感谢每一个建议

有人可以告诉我将firebase身份验证放入反应本机应用程序的简单步骤吗？我是一个纯反应原生开发人员，从未在Android中做过任何安全网设置或reCaptcha设置，有人可以告诉我使用电话号码在Firebase中发送确认码的简单步骤吗？以及如何使用 Firebase 之类的电话号码创建用户？createUserWithEmailAndPass()

Google实施证明 API的说明如下：

我知道应该从服务器获取随机数。如何阻止攻击者运行两个版本的应用程序 - 一个在合法设备上，一个在不安全设备上，并执行以下操作：

1. 不安全设备上的应用程序从我的服务器获取随机数
2. 安全设备上的应用程序使用此 nonce 调用 Google 的证明 API
3. 安全设备上的应用程序从 Google 获得签名的 JWS 响应
4. 攻击者将 JWS 响应传输到不安全设备上的应用程序
5. 不安全设备上的应用程序向我的服务器发送 JWS 响应

我的应用服务器会验证 JWS（包括 nonce），并认为不安全设备上的应用实际上是安全的。

我想用SafetyNet Attestation API保护我的应用程序。我想做一些错误处理。我已经发现如果我达到分钟配额，我会得到ApiException代码 16

但是，如果我达到10k 每日配额怎么办？我会收到什么错误？

我在我的 android studio 应用程序上使用 Firebase 的电话身份验证。身份验证有效，但每次用户进行身份验证时，他们都需要进行 reCAPTCHA。我认为那是因为我的应用程序中的 SafetyNet 存在问题。验证时出现以下错误：

我已启用 Android 设备验证，将 SHA-1 和 SHA-256 指纹都上传到 Firebase 控制台，将 google-services.json 文件重新下载到我的应用程序中，并尝试了我可以在各种论坛上找到的所有其他解决方案. 同样的错误仍然出现。

这是我的依赖项：

任何帮助将不胜感激。谢谢！

从 Firebase 实施新的 App Check 功能时，我无法解决此问题。

将文件上传到 Firebase 存储时失败并出现错误

原因：java.io.IOException: { "error": { "code": 401, "message": "Firebase App Check token is invalid." }}

我已经提供了调试密码，就像本文档中的内容一样。

调试 apk 是通过 USB 调试直接安装的。

注意： 我使用的是物理设备并在存储和实时数据库上启用了强制状态，每当我尝试进行上传等事务时它都会失败，并且上面显示的错误。

我正在尝试在我的应用程序中实现 SafetyNet。我也没有服务器，我正在使用 Firebase Firestore 和 Firebase Functions。

我对 Firebase 函数的了解非常有限。我想知道我是否可以以某种方式使用这些功能来帮助我进行 SafetyNet 认证。如我所见，我应该在云上生成一个随机数，将此随机数发送到应用程序，使用它来证明，然后将其发送回云端以验证完整性是否正确？

但我似乎无法在任何地方找到如何做到这一点。谁能指出我正确的方向？

来自 firebase 纪录片https://firebase.google.com/docs/app-check

您对 App Check 的使用受限于您使用的证明提供商的配额和限制。DeviceCheck 访问受 Apple 设置的任何配额或限制的约束。SafetyNet 的每日配额为 10,000 个呼叫...

我的问题是：说“每天 10,000 个电话”是什么意思？是对 Firebase 服务的 10.000 次 API 调用，例如：调用云函数 10.000 次？如果这是真的，那么这将限制使用我们应用程序的用户数量。

我正在使用 SafetyNet 来验证 android 应用程序的完整性。

这是目前的流程。

1. 我在服务器中生成一个 nonce 值并将其发送到 SafetyNet 服务以获取响应。
2. 我得到服务器的响应。现在我想在服务器上验证结果。

我得到一个base64字符串。我对其进行解码并得到如下响应。

现在我想验证apkCertificateDigestSha256。使用 cmd 从我的系统创建的 sha256 是 -

SHA256

问题 - 我想验证 apkCertificateDigestSha256 是否与应用证书相同。Bt 无法找到任何方法来做到这一点。

尝试-我尝试对 AJRBzWCfJIY7QD2cp4sv9t0cCGMRGdxuID9VdPLV1H4= 进行 base64 解码，并得到一个与 cmd 中创建的 sha256 不匹配的随机字节数组。

代码 -

输出 -

这与 43:16:E2:63:DB:2A:53:7C:7D:BB:E9:80:7B:05:1C:74:7C:84:66:A2 不匹配。

更新-

找到了一些参考，但真的不知道如何实现这一点。 参考1

我该如何进行匹配？

我正在通过 Google Play 控制台中的 SafetyNet 为我的 Firebase-RT 项目启用 AppCheck（按照 Google 人员的建议）。我现在想配置一个 Flutter 应用程序来使用它。我怎样才能做到这一点？我找不到任何官方方法来做到这一点。