我一直想知道是否有办法存储您的应用用于在 Google Play 中调用您自己的网络服务的对称密钥。也许通过新的 Google跟踪代码管理器现在是 Google Play服务的一部分,或通过某些方式自定义 Google Play许可来传递一些任意字符串限定。我从未使用过这两者,所以我在问。
考虑到Google Play能够与您的正版应用进行可信赖的沟通,我一直认为您可以使用 GooglePlay-to-YourGenuineApp 信任渠道使用对称密钥寻找您的正版应用程序,以便使用您的网络服务进行调用。
我想明确指出,我的目标不是要验证哪个用户正在调用我的网络服务,而只是验证我的网络服务是从我的正版应用程序调用的,而不是来自破解的用户。
然后,您可以定期更改服务器和Google Play上的对称密钥,以确保即使攻击者以某种方式管理以找到密钥一次,他也必须找到每次更改时都会使用新的。