我正在我的Android应用程序中实现订阅。假设我的服务名称是FOO。人们使用FOO用户名登录FOO,他们可以订阅一些优质的FOO服务。
我从Google Play获得的purchaseToken是我存储在本地数据库中的一个重要元素,并且通过HTTPS连接将其发送到我的远程服务器。我的远程服务器将调用get API来验证购买的收据,并根据结果我们为该FOO用户名激活一组高级服务。
现在我的问题是,如果用户试图破解并从数据库获取purchaseToken或通过嗅探数据包,他可以验证它是否有不同的FOO用户名。不是吗?我怎样才能确保它始终安全?
我可以想到一些选择,但我不确定哪一个是最好,最安全和最简单的。
首先,在存储时进行模糊/加密。它仍然只是可靠的。经过一番努力,它是可以破解的。
其次,确保purchaseTokens在服务器端是唯一的。即使对我来说似乎没关系,但我有点偏执,我不确定这是否会导致其他问题。