机制|了解广告SDK工作机制，保护APP自身安全( 二 )_

广告SDK在众多SDK类型中，是比较特殊的一类，其他SDK主要是方便APP自身运营需要，而广告SDK它的功能目的是直接的商业化变现。因此，具备一定规模流量的想快速获得收益的APP开发者都会考虑接入广告SDK。

文章插图
资料来源：《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》
二、广告SDK分类及用途广告SDK的功能是展示广告，从定义上来说，还分广义的和狭义的广告SDK，广义的广告SDK是指为开发者提供广告相关功能（接入广告、广告监测等）的软件开发工具包；狭义的广告SDK就是指帮助App开发者接入广告，实现广告变现的软件开发工具包。
从用途上分，可以分为网页SDK和APP SDK，网页SDK用于网页（或小程序）的广告变现，APP SDK用于移动应用程序内的广告变现，APP SDK从编写语言上分，一般分为Java SDK、Objective-C SDK，Java SDK适用于Android，Objective-C SDK适用于iOS。
按照不同广告领域，可分为展示广告SDK，激励广告SDK、互动广告SDK等，展示广告SDK一般用于仅展示广告素材类型的广告，使用范围最为普遍，激励广告SDK一般用于有激励场景的APP，像激励视频、积分墙等广告形式，游戏APP安装较多，互动广告SDK，多用于像抽奖、大转盘等类型的广告形式，使用范围广泛，工具类应用较多安装。
根据sdk商业性质来看，可以分为单一广告SDK和聚合广告SDK，单一广告SDK直接用来进行广告投放，一般开发者多为广告联盟，仅用于需求方的广告投放，聚合广告SDK集成多家广告联盟SDK，可实现多平台的广告投放，开发者多为广告技术公司，主要用于方便APP开发者在进行多广告联盟变现时的运营优化。
三、广告SDK如何接入一般广告SDK的开发者都会有对接文档给到APP开发者，APP开发者根据文档步骤自助对接，有问题的话再以邮件或工单提交等形式联系广告SDK开发者，有的广告SDK开发者会安排专人跟踪对接服务，相对来说处理问题会比较及时。总的来说，不管哪种服务方式，集成过程都基本遵循这样一个步骤。
Step 1 加入文件：根据文档内容，将广告SDK嵌入指定项目目录中。
Step 2 创建关联：建立关联关系，向广告SDK添加引用，添加配置、权限等。
Step 3 代码写入：应用初始化及广告位开发，调用广告SDK提供的广告位模板。
Step 4 测试联调：测试广告流程，是否正常触发广告请求、返回广告，广告素材下发、渲染、展示是否正常，是否流畅，广告数据统计是否正常等内容。
Step 5 更新软件: 将集成过广告SDK的APP上架到应用市场
完成以上步骤，广告位基本能够请求到广告，实现广告变现。
四、广告SDK的请求机制对于单一广告SDK和聚合广告SDK来说，工作机制基本相同，都是APP启动，调用SDK，触发广告请求，发送给广告平台服务器，广告平台服务器返回广告，下发素材，展示广告，只在发送广告请求上，聚合广告SDK会多一步转发动作，将广告请求转发多家广告联盟平台，如下图：

文章插图
广告SDK运行机制
区别在于，在发送广告请求上，聚合广告SDK会多一步转发请求的动作，将广告请求转发多家广告联盟平台。
广告SDK的工作流程已经很清晰，但对APP开发者来说，这些可能都不是难点，最大的顾虑还是在SDK的安全性上。主要问题，一是，SDK安全漏洞。二是，是否预留“后门”。三是，数据是否滥用。最后，问题还是落在这三点上，要避免这些问题，最好的方法是对广告SDK源码进行核查。