我在Android应用中使用Google IAP v3。我使用GoogleIabHelper类实现了签名检查。我还用几乎相同的代码检查服务器端的签名。
在服务器日志中,我发现很多购买都是无效的。以下是2次有效购买和1次无效的示例数据:
有效购买
#1
orderId: 12399363269014736759.1358132323863451
purchaseTime: 1416079768157
purchaseToken: olcgkklnpigiceancikanedj.AO-J1O...
dataSignature matches: yes
response from androidpublisher API: purchaseTimeMillis = 1416079768157, purchaseState = 0
#2
orderId: 12399363269014736759.1311230454123912
purchaseTime: 1415844666976
purchaseToken: ajkaitpnfgotgkmhlboatkmc.AO-J1O...
dataSignature matches: yes
response from androidpublisher API: purchaseTimeMillis = 1415844666976, purchaseState = 0
购买无效
orderId: 6246434551497330082
purchaseTime: 1415813103372
purchaseToken: xdavcuvdnniwwrhwemleqjdz.rSQozm...
dataSignature matches: no
response from androidpublisher API: "code": 400, "message": "Invalid Value"
正如您所看到的,两个有效购买的数据看起来相似。 dataSignatures都是正确的,androidpublisher API会返回这些购买的有效数据。
现在查看无效购买:
orderId与有效购买的模式不匹配purchaseTime过去(2014年11月12日星期三18:25:03 GMT + 0100(CET))即使今天购买了purchaseToken前缀在.(点)之后有所不同
dataSignature不匹配androidpublisher API返回Invalid Value 很确定它的购买无效吗?那么每天2-4次购买怎么样?我想知道IAP欺诈是真正的问题,还是我的代码和IAP验证存在问题。有人可以分享他们使用Google IAP v3进行无效购物的经历吗?
答案 0 :(得分:3)
经过深入研究后发现有很多方法可以破解IAP,但良好的购买验证可以防止它(如问题所示)。
首先,无效购买(所有这些)都是在 rooted devices 上进行的。我也问了一些用户他们的购买情况,其中一人同意他正在使用一些apk,允许免费购买IAP项目。
结论:代码一切正常,用户出了问题。