我对安全性或服务器知之甚少,但我正在开发一款允许用户购买应用内订阅的Android应用。 As recommended,我想使用Google Play Developer API并将必要的数据存储在我自己的服务器上。但是,如果我的代码中没有像
那样的行,我就无法想到这样做的方法if(userIsSubscribed){
//give access to purchased data
}
黑客显然可以进入并将其转移到if(true)。我该怎么做呢?
答案 0 :(得分:2)
至少对您的应用代码进行模糊处理。在发送内容之前,还要在服务器上进行订阅检查。这是他们拥有Web API的原因之一。
基本上,用户(和潜在的破解者)可以访问的任何内容(即您的应用程序)都不可信任。他们无法直接访问的内容(即您的内容服务器)可以更加信任,并且尽可能在那里移动所有敏感操作和/或数据。