android - 为什么使用应用内计费设置开发人员有效负载很重要？

Question

我正在使用第 3 版的应用内结算 API。我有一个单一的、托管的、非消耗品。我还没有在我的应用中发布这个功能，所以我想在购买之前决定购买有效载荷的内容。

来自 "Security Best Practices" :

Set the developer payload string when making purchase requests

With the In-app Billing Version 3 API, you can include a 'developer payload' string token when sending your purchase request to Google Play. Typically, this is used to pass in a string token that uniquely identifies this purchase request. If you specify a string value, Google Play returns this string along with the purchase response. Subsequently, when you make queries about this purchase, Google Play returns this string together with the purchase details.

You should pass in a string token that helps your application to identify the user who made the purchase, so that you can later verify that this is a legitimate purchase by that user. For consumable items, you can use a randomly generated string, but for non-consumable items you should use a string that uniquely identifies the user.

When you get back the response from Google Play, make sure to verify that the developer payload string matches the token that you sent previously with the purchase request. As a further security precaution, you should perform the verification on your own secure server.

无论对错，我决定不采取设置服务器来执行购买验证的“进一步安全预防措施”。而且我不存储自己的购买记录——我总是调用计费 API。那么我真的有任何理由进行此有效负载验证吗？验证 API 本身肯定会在将商品报告为已购买之前验证用户的身份，如果攻击者入侵了设备(应用程序或 google play API)，我看不出进行额外检查有什么好处用户在设备上的标识，很容易被绕过。还是有我没有想到的这样做的理由？

Answer 1

如果您不保留记录，则无法验证您收到的内容是否就是您发送的内容。因此，如果您将某些内容添加到开发人员有效负载中，您可以相信它是合法的(如果签名验证，这是一个合理的假设)，或者不完全信任它并且仅将其用作引用，但不能用于验证许可证状态等. 例如，如果您存储用户电子邮件，您可以使用该值而不是要求他们再次输入它，这对用户来说稍微友好一些，但如果它不存在，您的应用程序不会中断。

就我个人而言，我认为整个“最佳实践”部分令人困惑，并试图让您做 API 真正应该做的工作。由于购买与 Google 帐户相关联，并且 Play 商店显然会保存此信息，因此他们应该在购买详细信息中为您提供此信息。获取正确的用户 ID 需要额外的权限，您不需要添加这些权限只是为了弥补 IAB API 的缺陷。

因此，简而言之，除非您有自己的服务器和特殊的附加逻辑，否则不要使用开发人员有效负载。你应该没问题，只要 IAB v3 API 有效(不幸的是，此时这是一个很大的“如果”)。