我正在创建一个支付 android 库(aar),我必须确保我收到的所有请求back-end都来自我的库而不是假库。
我该怎么做?
问问题
123 次
1 回答
0
我之前用过两种方法:
1- 简单而坏的方法:尝试在您的应用程序中使用像 JWT 这样的硬编码字符串,并使用强大的混淆器来避免反编译应用程序。
2-更好的方法:您可以使用instance id并将其发送到您的后端,服务器可以从 Google 查询此 ID,并且package id服务器可以使用响应中的一些元素来接受或拒绝请求。
来自 Google 的示例响应:
{
"application":"com.iid.example",
"authorizedEntity":"123456782354",
"platform":"Android",
"attestStatus":"ROOTED",
"appSigner":"1a2bc3d4e5",
"connectionType":"WIFI",
"connectDate":"2015-05-12
}
}
参考:https ://developers.google.com/instance-id/reference/server
于 2019-01-01T11:48:04.953 回答