上线前检查清单
在上线之前,请查阅此检查清单作为简单资源,确保您已准备好使用 CDK 成功启动。
上线前配置
-
产品配置(在 Compliance Studio 中)
-
API 集成
- 在收集年龄之前检查年龄门控要求
- 实施年龄门控检查,包含所有状态处理程序(
PROHIBITED、CHALLENGE、PASS) - 实施挑战创建和显示
- 实施挑战状态跟踪(webhooks 或轮询)
- 实施会话检索
- 实施会话缓存
- 为所有游戏功能实施权限检查
- 为所有流程正确生成小部件 URL(E2E、年龄门控、数据通知、权限)
- 为所有小部件类型实施事件处理程序
- 为所有 API 调用实施错误处理
- 为边缘情况定义回退流程
-
账户系统集成(如适用)
- 正确配置产品上下文映射
- 在账户系统中实施
kuid存储 - 按产品 ID 实施会话缓存
- 跨产品会话检索正常工作
安全验证
-
正确的环境映射
- 测试 API 密钥调用测试端点
- 实时 API 密钥调用实时端点
- API 密钥安全存储(永远不在客户端代码中)
-
源验证
- 为所有小部件事件处理程序实施事件源验证
- 在 Compliance Studio 中配置目标源
- 如果适用,配置 CSP 标头
-
iframe 安全
- 为所有小部件设置适当的
allow权限 - 审查沙箱属性
- URL 参数中没有敏感数据
- 小部件 URL 仅在服务器端生成
- 为所有小部件设置适当的
-
会话安全
- 安全缓存会话
- 使用会话 ETags 进行高效检索
- 配置和保护会话 webhooks
年龄门控验证
- 年龄门控流程
- 检查所有司法管辖区的年龄门控要求
- 正确使用批准的年龄收集方法
- 正确处理年龄阈值(数字同意年龄、民事年龄、最低年龄)
- 检查年龄保证要求(如适用)
-
PROHIBITED状态完全阻止访问 -
CHALLENGE状态触发同意流程 -
PASS状态正确创建/检索会话
VPC 和挑战验证
-
挑战处理
- 持久存储挑战 ID
- 待处理挑战的挑战检索正常工作
- 实施挑战显示(二维码、OTP、电子邮件)
- 向可信成人发送电子邮件通知(如可用)
- 实施挑战状态跟踪(推荐 webhooks)
- 为轮询实施速率限制(如果使用)
- 实施 HTTP 429 处理,包含重试逻辑
- 存储
approverEmail用于客户服务
-
同意流程
- 同意批准正确授予访问权限
- 同意拒绝适当限制访问
- 授予同意后创建/更新会话
- 同意后正确应用权限
会话和权限验证
-
会话管理
- 适当缓存会话
- 使用 ETags 进行条件请求
- 游戏重启时刷新会话
- 配置会话 webhooks(
Session.ChangePermissions、Session.Delete) - 会话升级流程正常工作(如适用)
- 正确处理司法管辖区更新
-
权限实施
- 所有权限映射到游戏功能
- 检查所有功能的
enabled字段 - 尊重
managedBy字段(PLAYER、GUARDIAN、PROHIBITED) - 从 UI 中删除禁止的权限
- 权限更改立即在游戏中反映
- 权限升级流程正常工作(如适用)
数据通知验证
- 数据通知流程
- 集成数据通知小部件(如果使用自定义工作流)
- 在会话中跟踪数据通知同意
- 正确处理数据通知事件
- 显示特定于司法管辖区的通知
最终验证
-
端到端测试
- 测试所有年龄类别的完整用户旅程
- 测试所有司法管辖区的年龄门控流程
- 端到端测试 VPC 流程
- 验证可信成人体验
- 会话管理正常工作
- 权限更新在游戏中反映
- 测试数据通知流程(如适用)
- 测试账户系统集成(如适用)
-
合规性验证
- 完成法律审查
- 合规引擎是最新的
- 更新隐私政策
- 验证数据处理程序
- 确认审计跟踪功能
- 验证所有目标市场的司法管辖区要求
-
性能测试
- API 响应时间可接受
- 会话缓存高效工作
- Webhook 交付可靠
- 优雅处理速率限制
- 优雅处理错误场景
一旦所有检查清单项目完成,您就可以准备将配置发布到实时环境,并开始使用 CDK 为真实用户提供服务。