android - 这个 Google LVL 政策实现是否合理安全？

Question

Google 在其 License Verification Library 中提供的默认 ServerManagedPolicy依靠服务器响应来确定许可证重新生效间隔。这导致永久性地每隔几天就需要重新验证一次。这不仅对用户造成滋扰，对于长时间没有连接的用户来说可能是一个严重的问题。 (我们刚刚收到一位用户的询问，他预计几周没有互联网连接，这就是这个问题的动机。)

总而言之，我正在寻找一种可以完成两件事的算法:

1. 与 ServerManagedPolicy 相比，大大降低了连接要求；
2. 提供相同级别的反盗版保护。

在对 this question 的回答中建议的策略算法是忽略 Google 服务器响应中提供的时间，而是使用大约一个月的 LICENSED 有效期，每隔几天尝试一次许可证检查(如果收到 LICENSED 响应则延长有效期) .

虽然这种方法部分解决了第一个目标，但它仍然要求用户在使用该应用程序时每月连接一次，因此它不适用于我们的(至少一个)用户。

下面的算法实现了第一个目标，但我不知道第二个。欢迎任何指出该算法弱点的评论或对另一种方法的建议。

1. 在首次运行时，进行许可检查并坚持在提供完整功能之前获得许可响应。收到后，设置一个相对较短的有效期(但要长于 Google Play 提供的退款期限，目前为 15 分钟)。还要登记几天的宽限期。
2. 该应用程序将在许可到期后再次开始检查。如果它无法连接(飞行模式等)，它仍然可以运行，直到宽限期结束。
3. 宽限期到期后，在允许正常应用运行之前坚持第二次许可响应。
4. 收到第二个 LICENSED 响应后，永久启用该应用的所有功能，再也不用费心检查了。
5. 如果在任何时候收到未经许可的响应，则永久禁用全部功能。 (当然，用户可以通过删除所有应用数据返回到步骤 1。)

补充要点:

• 有人建议放弃第一次许可证检查，等到返还期结束后再进行许可证检查。坚持第一个 LICENSED 响应的目的是防止在许可证检查失败后，用户只需停止应用程序进程、清除应用程序数据并重新启动应用程序即可。 (即使一次只能使用 15 分钟，该应用程序也能提供值(value)。)
• 坚持第二个 LICENSED 响应的目的是绕过购买-运行-备份-返回-恢复漏洞。
• 我不是在问回调许可检查是否是个好主意(这是 Google 提供的替代其已弃用的复制保护机制的方法)。我也很清楚没有任何反盗版保护是万无一失的，并且可以规避 Google 的整个许可机制(在这种情况下，所有关于策略算法设计的问题都无关紧要)。这个问题的要点是上述算法与其他策略(例如ServerManagedPolicy)相比的相对风险(对我们)和 yield (对用户) .

Answer 1

关于盗版，风险无处不在，无论做什么都无法完全杜绝。

与其他风险相反，您可能会因为客户无法使用的应用而感到不安。

我预计会有很多 0* 评论来自不满意的客户，他们甚至无法使用他们付费购买的应用程序，因为它已被禁用，而免费获得该应用程序的人可能不会受到干扰。这就像买了一张 DVD，满脸都是版权警告，而盗版者却可以不间断地观看。

我会坚持在购买应用程序时获得许可响应，而不会理会第二个响应。如果有人能绕过一种 react ，他们就会绕过第二种 react 。

编辑:我同意 kcoppock 的观点，即在购买后 20 分钟进行许可支票对客户造成的干扰最小，并避免您提到的退款错误