android - 应用内购买促销代码会破坏远程服务器验证？

Question

发布应用内购买的促销代码似乎会阻止应用（再一次）执行远程服务器购买验证！

当促销代码用于应用内购买（PURCHASES_UPDATED广播）时，它将完全绕过购买流程，因此应用没有机会提供“developerPayload”，用于远程验证。

稍后，当应用调用getPurchases()来获取/验证所有者产品时，促销购买的购买数据当然不包含 a "developerPayload"，但也不包含，对于使用Google Play Developer API"orderId"进行远程验证也很有用。

应用程序应该如何验证使用促销代码进行的应用内购买？

允许用户通过 Google Play 商店应用程序/网站兑换促销代码，从而绕过购买流程，似乎是一个重大疏忽，这是不可能的。

问题报告：

• https://code.google.com/p/android/issues/detail?id=200722（关闭错误论坛）
• https://github.com/googlesamples/android-play-billing/issues/7

类似帖子：

• 通过促销代码进行的应用内购买返回空的开发人员有效负载字符串

Answer 1

这确实是 Google 方面已知的安全问题，因此我将建议一种解决方法。

与促销代码一起为用户提供由您的服务器生成的服务器 ID，在获得促销购买时验证服务器 ID 并接受一次购买。

从市场使用时，请发送带有推荐人的 ID。使用 from app 时有自己的逻辑来提供服务器 ID。

底线没有其他解决方案，但有一些如何识别具有某种 id 的用户。