我一直想知道是否有一种方法可以存储您的应用程序用来在Google Play中调用您自己的网络服务的对称密钥。也许通过新的谷歌标签管理器现在是谷歌播放服务的一部分,或者通过一些自定义谷歌播放许可的方式来传递你定义的任意字符串。我从来没有使用过任何一个,所以我问。
考虑到 Google Play 能够与您的正版应用进行可信通信,我一直认为您可以利用GooglePlay-to-YourGenuineApp可信渠道来获取您的正版应用,并使用对称密钥调用您的网络服务。
我想明确指出,我的目的不是验证哪个用户正在调用我的网络服务,而只是验证我的网络服务是从我的正版应用程序调用的,而不是从破解的应用程序调用的。
然后,您可以在您的服务器和 Google Play 上定期更改 symmetric-key,以确保即使攻击者设法以某种方式找到了一次密钥,每次更改时他都必须找到新的密钥。