Android上的独特字符串应用程序内购买

Question

在Android Documentation中有以下建议：

  

安全建议：传递一个字符串是一种好习惯   帮助您的应用程序识别进行购买的用户，以便   您可以稍后验证这是合法的购买   用户。对于耗材，您可以使用随机生成的字符串，   但对于非消耗品，您应该使用唯一的字符串   识别用户。

生成此字符串的最佳做法是什么？

Answer 1

当应用程序独立时，最好的方法是

• 使用模糊处理的Google Play LVL用户ID，然后使用分隔符
• 添加安全随机信息（aka nonce），并根据您的需要
• 您可以添加其他信息，例如时间点

这样，你可以

• 关联LVL和IAB信息和
• IAB服务响应比没有nonce
时更安全

以下漏洞仍然存在：

• Having your app check LVL/IAB is insecure in general因为原则上可以在逆向工程后覆盖检查。
• 在创建购买意图（而非有效性请求本身）上设置IAB nonce时，无法验证您获得的响应是​​否来自重播攻击。
• IAB V3 information is cached inside the IAB service on the Android device，因此甚至不能保证您会获得最新信息;如果设备处于脱机状态，或者服务决定现在无需重新验证缓存信息的有效性，该服务将以静默方式将缓存信息传递给应用程序。

进一步提高安全性的唯一方法是use a server-based approach for LVL/IAB validation.