我有一个Android应用程序和一个应用内购买。
我想通过php文件将购买它的用户的user_id发布到我的远程数据库。
我知道一些聪明的用户可以收听网络并查看我的php服务的地址。他们甚至可能会发现我发送的变量。 我当然知道如何加密user_id。我可以用RSA或AES做到这一点。但我需要在应用程序中保留RSA的公钥。
这是我的问题:一个更聪明的攻击者可以轻松获取公钥并加密他的用户ID并发布到我的Web服务。如何防止出现这种情况?
答案 0 :(得分:2)
我已经解决了我的问题。我需要的是在服务器端进行签名验证。我只需要将签名和签名数据发送到我的服务器。 没有人可以欺骗这些数据。他们直接来自谷歌。 签名验证完成后,我只是将用户添加到我的mysql表中。