我正在我的 android 应用程序中实现订阅。假设我的服务名称是 FOO。人们使用 FOO 用户名登录 FOO,他们可以订阅一些高级 FOO 服务。
purchaseToken我从 Google Play 获得的信息是我存储在本地数据库中的一个重要元素,并通过 HTTPS 连接将其发送到我的远程服务器。我的远程服务器将调用get API来验证购买的收据,并根据结果为该 FOO 用户名激活一组高级服务。
现在我的问题是,如果用户试图破解并purchaseToken从 DB 获取或通过嗅探数据包,他可以验证它是否为不同的 FOO 用户名。不是吗?我怎样才能确保它始终是安全的?
我可以想到几个选项,但我不确定哪一个是最好、最安全和万无一失的。
首先,在存储时进行混淆/加密。它仍然只是可再生能源。稍加努力,它就可以破解了。
其次,确保它们purchaseTokens在服务器端是唯一的。尽管对我来说似乎没问题,但我有点偏执,我不确定这是否会导致其他问题。
你怎么看?