Android - 通过服务器端验证保护应用内购买-6ren

Android - 通过服务器端验证保护应用内购买

转载作者：塔克拉玛干更新时间：2023-11-02 20:53:03

25

4

我是 Android 开发的新手，但创建了一个应用程序，并且我实现了应用程序内购买以从应用程序中删除广告。我只是做了一个非常基本的实现，我主要检查用户是否购买了“no_ads”项目，如果是，则不会显示任何广告。问题是我看到很多“购买”记录在 firebase 上，而游戏控制台上什么也没有，这当然意味着我的用户正在使用那些黑客应用程序。所以我的问题是，如何在服务器上保护/验证这些购买，以便这些黑客应用程序无用？我已经有我的应用程序使用的服务器，因此为我实现任何服务器端代码都没有问题。如果有人能指出我的教程，那就太好了。谢谢

最佳答案

我为减少应用内购买欺诈做出的小贡献

在外部服务器上，在您的 Android 代码上进行签名验证:

verifySignatureOnServer()

  private boolean verifySignatureOnServer(String data, String signature) {
        String retFromServer = "";
        URL url;
        HttpsURLConnection urlConnection = null;
        try {
            String urlStr = "https://www.example.com/verify.php?data=" + URLEncoder.encode(data, "UTF-8") + "&signature=" + URLEncoder.encode(signature, "UTF-8");

            url = new URL(urlStr);
            urlConnection = (HttpsURLConnection) url.openConnection();
            InputStream in = urlConnection.getInputStream();
            InputStreamReader inRead = new InputStreamReader(in);
            retFromServer = convertStreamToString(inRead);

        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (urlConnection != null) {
                urlConnection.disconnect();
            }
        }

        return retFromServer.equals("good");
    }

convertStreamToString()

 private static String convertStreamToString(java.io.InputStreamReader is) {
        java.util.Scanner s = new java.util.Scanner(is).useDelimiter("\\A");
        return s.hasNext() ? s.next() : "";
    }

verify.php 在主机根目录

<?php
// get data param
$data = $_GET['data'];

// get signature param
$signature = $_GET['signature'];

// get key
$key_64 = ".... put here the base64 encoded pub key from google play console , all in one row !! ....";



$key =  "-----BEGIN PUBLIC KEY-----\n".
        chunk_split($key_64, 64,"\n").
       '-----END PUBLIC KEY-----';   
//using PHP to create an RSA key
$key = openssl_get_publickey($key);


// state whether signature is okay or not
$ok = openssl_verify($data, base64_decode($signature), $key, OPENSSL_ALGO_SHA1);
if ($ok == 1) {
    echo "good";
} elseif ($ok == 0) {
    echo "bad";
} else {
    die ("fault, error checking signature");
}

// free the key from memory
openssl_free_key($key);

?>

注意事项:

您应该在您的 java 代码中加密 URL，否则可以通过在解压的应用程序 apk 中进行简单的文本搜索轻松找到该 URL
还最好更改 php 文件名、url 参数、对某些毫无意义的内容的好/坏响应。
verifySignatureOnServer() 应该在单独的线程中运行，否则将抛出主线程上的网络异常。另一种方法是使用 Volley。

应用内结算库更新

使用该库，要验证的数据由 Purchase.getOriginalJson() 返回，签名由 Purchase.getSignature()

希望对你有帮助...

关于Android - 通过服务器端验证保护应用内购买，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/48392718/

25

4

0

文章推荐： android - 如何使用 RxJava 2 + Retrofit 2 进行 POST？

文章推荐： android - 如何知道 Android 中 Firebase 通知中的主题名称？

文章推荐： android - 针对特定风格禁用 Google 服务 Gradle 插件

licensing - 产品序列号/购买
关闭。这个问题是opinion-based .它目前不接受答案。想改善这个问题吗？更新问题，以便可以通过 editing this post 用事实和引文回答问题. 6年前关闭。 Improve t
mysql 在单个查询中比较销售/购买
我们有一个专有的销售系统，我们已经使用了一段时间了。最近我们添加了“购买”方面，以便我们可以比较匹配产品的平均购买/销售价格以及查看库存状况。在 MySQL 中，我有 2 个表:tblPurchas
Paypal 循环+购买
在查看 Paypal 文档以寻找针对这种情况的解决方案后，我一头雾水。我想要的是一种让购物车订阅(定期付款)和购买商品的方法。有没有一种方法可以解决这个问题，或者我是否必须做一些自定义的事情(如果我使
api - youtube api电影租赁/购买
我想知道是否可以使用youtube api获取可购买或可租借的电影列表。当我转到youtube网站并登录到Google帐户时，我可以看到要购买的电影及其价格。我想在我的应用程序(http://www
JavaScript 购买 SDK - Shopify
我使用 JavaScript 购买 SDK 和 Node.js。 const fetch = require('node-fetch'); const shopify = require('shopi
xamarin - 识别测试 GooglePlay 购买
我购买了三个不同期限的不同订阅。我已经配置了测试账户，我可以进行测试购买。对于这些购买，谷歌不向我收费，但它们看起来非常像真实的。购买成功后，应用内结算会向我发送一些有关我的购买的数据，例如 pack
ios - 购买/恢复应用内购买单按钮。 (检查是否以前购买)
我目前正在实现应用内购买，并且刚刚阅读了一些帖子，说需要恢复购买按钮，否则苹果将拒绝应用。我不想在我的 UI 设计中添加第二个按钮。所以我的问题是... 有没有办法检查用户之前是否进行过应用内购买
Android IN App 购买 - 项目已拥有问题
我的应用中有多个项目。我有两个设备。如果我在这些设备中的第一个上购买商品，然后尝试在另一个设备上购买相同的商品，我不能。(Google play intent 显示消息 - 商品已拥有!然后它崩溃了.
iphone - 如何检测 iOS 购买？
有没有办法检测何时通过应用商店为您的应用进行了购买？检测应用内购买似乎很容易(即我们的服务器可以收到通知)，但是对于直接购买有没有办法做到这一点？如果没有，是否有一些用户的唯一标识符(例如购买时通
android - 购买 Android 设备进行开发
就目前而言，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the he
iphone - 购买 iOS 应用内购买时可享受折扣
我计划在用户使用该应用程序成功扫描二维码时为应用内购买提供折扣。我知道无法为现有商品提供折扣。我打算以折扣价添加另一件商品。有没有人以前有过使用这种方法的经验？提前致谢最佳答案没有办法直接这样做
language-agnostic - 应用程序框架——购买、构建还是吸收？
我很好奇其他商店在基础应用程序框架方面做了什么？我将应用程序框架视为能够提供额外或扩展的功能以提高基于它构建的应用程序的质量。有各种开箱即用的框架，例如 Spring(或 Spring.NET)等。
iphone - 您已经购买了此订阅。点击“购买”以续订或延期
我们正在开发一款使用非续订订阅 IAP 模型的应用。在沙盒中测试订阅购买流程时，我们看到弹出两 strip 有“购买”按钮的消息。显示第一条消息和产品信息:“您想以 xx.xx 美元购买一个订阅吗？
azure - 购买 Microsoft 365 后下一步做什么？
我的老板购买了 Microsoft 365，它包含三种产品。他现在要求我设计一个管理系统，比如员工自助服务门户。我特此寻求有关从哪里开始或使用哪种产品的建议，因为我对此很陌生。我尝试了一些研究，发现
azure - 购买 Microsoft 365 后下一步做什么？
我的老板购买了 Microsoft 365，它包含三种产品。他现在要求我设计一个管理系统，比如员工自助服务门户。我特此寻求有关从哪里开始或使用哪种产品的建议，因为我对此很陌生。我尝试了一些研究，发现
ios - 如何防御IAP Cracker的“耗材”购买？
我刚刚了解了IAP Cracker的存在，并试图找出在我的应用中验证IAP购买的最佳方法。我无法确定的是IAP Cracker是否可以处理“消耗性”商品。如果没有，我没有什么可担心的。这是维护/验
java - 如何使用真实产品测试 android IAP 购买？
我正在编写一个允许应用内购买的简单应用。我已经使用 SKU 代码 android.test.purchased 进行了测试，一切正常。我进入我的 google play 控制台，创建了一个应用程序，
ios - xcode inapp 购买，为评论家等提供免费购买的最佳方式
我即将启动一个应用程序，该应用程序将包含多个“应用程序内购买”。我想做的是有一种方法可以提供少量免费的“应用内购买”来选择评论家等人。在 apple 框架内有没有办法做到这一点，如果没有，我可以采
e-commerce - 购买/出售网站的 Paypal
所以我在这个网站上工作，用户可以在该网站上发布他们的商品，其他用户可以将一些商品添加到他们的购物车并在线购买。我考虑的流程是这样的: 商家发布商品及其信用卡/ Paypal 信息。买家将(来自不同
security - 购买 SSL 证书时，它会自动附带根证书和中间证书吗？
我对这个主题进行了广泛的研究，但我的知识仍然很模糊。我正在寻找一个简单站点的基本 DV，但我看到每个在线 SSL 都具有三个级别， Root->Intermidiate (充当 Root 的代理)和我

首页

博学

6Ren·AI

商城

Android - 通过服务器端验证保护应用内购买