0

我需要将有关应用程序用户的加密信息发送到我的服务器。服务器还可以验证发送的信息并发送回加密的响应,以便客户端知道根据响应做什么。我相信我应该使用 JSON 和 POST PHP 来解决这个问题,但不知道如何处理它的安全方面。

一个例子是。客户通过应用内结算购买硬币。服务器收到来自应用内计费的通知并更新客户端有多少硬币。然后客户端继续使用硬币购买游戏中的物品,并将其验证和 id 发送到服务器验证的服务器,然后发送响应代码,说明客户端因欺诈活动或硬币不足而被禁止或允许客户端购买有问题的项目。

我有一些问题。

  1. 我知道任何应用程序或游戏总是可以在客户端被黑客入侵,但如果验证与服务器一致的事情会变得越来越难。我如何确保客户端很难弄乱响应代码以及发送验证?SSL就够了吗?如果是这样,您能否指导我阅读一篇关于如何为 Android php 发布实现 SSL 的文章?

  2. Google 结算如何验证其用户?通过电子邮件或设备 ID?

4

1 回答 1

0

都写在这里了。在硬币示例中,您可能需要非托管的应用内结算。非托管意味着 Google Play 不会存储交易,您负责跟踪用户(通过电子邮件、设备 ID 或用户名)。

关于安全性,这实际上取决于您的要求。Google Play 的应用内结算不需要您部署自己的服务器。您甚至不需要与网络对话:它全部由 Play 应用程序管理,其作用类似于代理。假设您想使用自己的服务器,SSL 仅授予传输安全性,即消息的完整性机密性,通常不由 HTTP 保证,现在由 SSL 保证。这可以防止中间人攻击等,但它实际上并不能保护您的应用程序免受应用程序级缺陷的影响。

如果您的后端有一个标准的 RESTful 接口,您需要根据至少一个私有信息(例如密码)对用户进行身份验证。否则,任何人都可以冒充1234567890或请求john@example.com,这是公开数据。换句话说,您只需要为用户创建帐户并通过 HTTPS 进行通信。

于 2012-09-29T15:09:08.917 回答