作者areyo (没有名字的怪物)
看板AndroidDev
标题[问题] 关於IAP 破解 & 安全问题
时间Wed Oct 8 15:50:07 2014
各位大大午安
想请教关於IAP内购的功能,但不是要破解它,而是如何防范
之前看到一个破解软体(F开头的),它会绕过google的检查
并产生orderid (23154651215 <-经查证是ver2, 现行已改ver3
格式21316513.2313213213等格式)
也查了google的文件,在purchase flow有个参数payload说是用来安全验证用?!
但我去用该破解软体去试自己的APP,payload还是会正常收到
那麽我怎麽防范这类型的破解软体呢?? (因为怕这破解软体也更新,产生ver3的order id)
(目前我在server端用ver2 / 3格式来判断,ver2的都当是恶意的假订单)
有人有这方面经验吗?
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.47.118.186
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/AndroidDev/M.1412754611.A.194.html
1F:→ KeySabre: server可以用purchase API问Google 10/09 20:09
2F:→ areyo: Sab大大,请问有关键字吗?? 谢谢 10/09 22:56
3F:→ areyo: 是在自己的console里有个API存取选项吗?? 10/09 23:01
4F:→ KeySabre: 关键字不是已经出来了? 10/16 13:46
5F:→ KeySabre: 另外purchase data跟sign拿到後要以public key检查 10/16 13:47
6F:→ KeySabre: 总之不能单纯用order id的格式做判断 10/16 13:48