android – 如何安全地管理外部服务器上的应用内结算事务?

前端之家收集整理的这篇文章主要介绍了android – 如何安全地管理外部服务器上的应用内结算事务?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在尝试使用带有应用内结算的“托管”购买来实现升级/解锁我应用的各种功能的系统,并且由于缺乏深入的文档或示例而陷入困境.

我的应用程序的目的是从我自己的服务器检索/解析和显示数据,以及有关http://developer.android.com/guide/market/billing/billing_best_practices.html的文档:

If you are using a remote server to deliver or manage content,have your application verify the purchase state of the unlocked content whenever a user accesses the content.

我的问题是,在实际工作流程方面,最好的方法是什么?

据我所知,成功购买后,我会将购买信息存储在我的服务器上,也可以存储在应用程序中.当应用程序运行时,我会将订单ID发送到我的服务器,服务器会检查订单是否有效(首先检查订单是否存在于我服务器的数据库中,然后检查我是否还没有手动撤销订单无论什么原因).

如果验证了这一点,服务器将向应用程序发送所请求的功能被“许可”的响应,并且应用程序将向用户提供未锁定的功能/内容.

我能看到的明显问题是:

> root用户可以轻松地更改本地应用程序的sqlITE数据库(或我用于存储订单信息的任何其他方法)来注入有效的订单ID.
>如果网络访问中断,或者我的服务器已关闭,我仍然希望应用程序能够使用所有用户购买的功能运行(使用缓存数据).

我可以看到的第一个问题的潜在方法涉及发送某种设备标识符和验证请求,并在我的服务器端监视 – 如果大量设备在短时间内访问订单,则撤销订单.

对于第二个问题,我无法找到适当的解决方案.我最初认为每次验证成功时,都会存储验证发生的时间.然后,应用程序将继续运行解锁功能,例如,在上次成功验证后48小时.问题是,我如何安全地存储这个时间价值?同样,有根的用户可以简单地改变价值,而应用程序则更加明智.

有没有人设计过基于服务器的系统来管理应用内购物结算并提供一些建议?

解决方法

Google Licensing提供了一种允许缓存“您的许可证有效”的方法,以保持活跃状态​​.

@L_403_1@

您还可以加密正在存储的数据.如果他们付了钱,他们就会解密它.如果没有可用的网络访问权限,则实施与应用程序许可(目前根据Apache许可证,2.0版许可)类似的缓存方案.

猜你在找的Android相关文章