Question

我想在Android应用程序中对购买收据进行服务器端验证。我使用的是node.js后端。

我目前正在尝试使用google-play-purchase-validator节点模块（https://www.npmjs.org/package/google-play-purchase-validator），这似乎是最新的模块（执行实时请求）谷歌购买api）。

在Google开发者控制台中，我创建了一个Google服务帐户，然后获得了要在模块中使用的电子邮件和密钥，我还将此服务帐户与我的应用程序相关联，如本文Use service account to verify Google InAppPurchase中所述。不幸的是，它不起作用。似乎节点模块生成的jwt令牌没有正确签名（我收到以下错误：未能签署JWT，密钥可能无效）。

这里有一些代码：

var Verifier = require('google-play-purchase-validator');
var options = {
  email:'myemail@developer.gserviceaccount.com',
  key: 'myprivatekey',
};
var verifier = new Verifier(options);
verifier.verify(item.Receipt, function cb(err, response) {
if (err) {
    console.log("there was an error validating the receipt");
    console.log(err);
}
else{
    console.log("sucessfully validated the receipt");
    console.log(response);
}

私钥来自.pem文件，我可以使用以下命令从谷歌提供的.p12文件中生成：

openssl pkcs12 -in downloaded-key-file.p12 -out your-key-file.pem -nodes

google-play-purchase-validator模块基于其他一些模块（google-oauth-jwt，request，crypto）。我尝试调试一下，一切似乎都正确完成。

知道我哪里错了吗？

保

Answer 1

刚刚添加了有关如何获取模块自述文件的正确凭据的说明。

https://www.npmjs.org/package/google-play-purchase-validator

或者在这里找到它们：

首先进入google play开发者控制台作为帐户的主管理员（此角色是唯一允许执行以下步骤的人）。
转到＆＃34;设置 - ＆gt; API访问＆＃34;将Google Developer项目链接到此帐户。
如果您是新手，请选择＆＃34;创建新项目＆＃34;。
您现在可以有更多选择。选择＆＃34;创建服务帐户＆＃34;。
点击指向Google Developer Console和项目的链接
点击＆＃34;创建新客户ID＆＃34;创建新的客户端ID
忽略将下载到您的计算机的.p12文件，然后点击＆＃34;生成新的JSON密钥＆＃34;。
这会将JSON文件下载到您的计算机上。我们将在一秒钟内回到该文件。
现在返回Play商店发布商帐户，然后点击＆＃34;完成＆＃34;。您的新生成用户将显示在此处。
点击＆＃34;授予访问权限＆＃34;并授予用户阅读项目的权利。
现在使用此模块设置Node.JS项目，并提供json文件中的电子邮件地址和私钥作为此模块的选项。

Answer 2

仅当您按照上面接受的答案的步骤进行操作时，此答案才有用。我正在使用googleapis npm软件包来验证耗材购买。

    import { google } from 'googleapis';
    
    const auth = new google.auth.GoogleAuth({
                credentials: {
                    client_email: 'email from json file',
                    private_key:
                        'private key from json file',
                },
                scopes: ['https://www.googleapis.com/auth/androidpublisher'],
            });
            const authClient = await auth.getClient();
            google.options({ auth: authClient });
            try {
// packageName,productId,token you can get from request sent from android
                const purchaseResponse: AndroidPurchaseResponse = await google
                    .androidpublisher({
                        version: 'v3',
                    }).purchases.products.get({
                        packageName: 'packageName',
                        productId: 'productId',
                        token: 'purchaseToken',
                    });
    
                if (purchaseResponse.data.purchaseState !== 0) {
                    throw new BadRequestException('Purchase is either Pending or Cancelled!');
                }
                if (purchaseResponse.data.consumptionState !== 0) {
                    throw new BadRequestException('Purchase is already consumed!');
                }
                if (purchaseResponse.data.developerPayload !== requestDto.developerPayload) {
                    throw new BadRequestException('Invalid developerPayload');
                }
                if (purchaseResponse.data.orderId !== requestDto.orderId) {
                    throw new BadRequestException('Invalid orderId');
                }
                return purchaseResponse;
            } catch (e) {
                throw new BadRequestException(e);
            }

如何验证android计费收据服务器端

2 个答案: