在Android 文档中有这样的建议:
安全建议:最好传入一个字符串,以帮助您的应用程序识别进行购买的用户,以便您以后可以验证这是该用户的合法购买。对于消耗品,您可以使用随机生成的字符串,但对于非消耗品,您应该使用唯一标识用户的字符串。
生成此字符串的最佳做法是什么?
问问题
630 次
1 回答
1
当应用程序独立时,最好的方法是
- 使用经过混淆的 Google Play LVL 用户 ID,并在分隔符之后
- 添加一个安全的随机信息(又名随机数),并根据您的需要,
- 您可以添加其他信息来识别例如时间点
这样,您可以
- 关联 LVL 和 IAB 信息和
- IAB 服务响应比没有随机数时更安全
仍然存在以下漏洞:
- 让您的应用程序检查 LVL/IAB 通常是不安全的,因为原则上可以在逆向工程之后覆盖检查。
- 由于在创建购买意图时设置了 IAB 随机数(而不是根据有效性请求本身),因此无法验证您获得的响应不是来自重放攻击。
- IAB V3 信息缓存在 Android 设备上的 IAB 服务中,因此甚至不能保证您会得到最新信息;如果设备离线或服务决定缓存信息的有效性现在不需要重新验证,服务将静默地将缓存信息传递给应用程序。
进一步提高安全性的唯一方法是使用基于服务器的方法进行 LVL/IAB 验证。
于 2013-04-23T13:23:28.027 回答