我已经在我的游戏中实施了Google游戏服务,我想知道Game Service返回的玩家ID是否可以被黑客攻击?
我将使用该ID从数据库中检索播放器数据。我知道我可以请求ID令牌并通过将其发送到服务器并在那里验证它来验证玩家身份。但是,请求ID令牌会要求用户允许该应用“了解您在Google上的身份"”,并且我不想显示该权限。
答案 0 :(得分:0)
您真正想要使用的是服务器验证码。流程是:
用户正常登录设备上的游戏。当你 构建客户端连接,请求ServerAuthCode。成为 产生。
String webclientId = getString(R.string.webclient_id);
// Request authCode so we can send the code to the server.
GoogleSignInOptions options = new GoogleSignInOptions
.Builder(GoogleSignInOptions.DEFAULT_GAMES_SIGN_IN)
.requestServerAuthCode(webclientId)
.build();
mGoogleApiClient = new GoogleApiClient.Builder(this)
.addApi(Games.API)
.addApi(Auth.GOOGLE_SIGN_IN_API, options)
.addConnectionCallbacks(this)
.addOnConnectionFailedListener(this)
.build();
登录完成后获取身份验证码并将身份验证码发送至服务器。
@Override
protected void onActivityResult(int requestCode, int responseCode,
Intent intent) {
if (requestCode == RC_SIGN_IN) {
Log.d(TAG, "onActivityResult RC_SIGN_IN, responseCode="
+ responseCode + ", intent=" + intent);
GoogleSignInResult result =
Auth.GoogleSignInApi.getSignInResultFromIntent(intent);
if (result.isSuccess()) {
sendToServer(result.getSignInAccount().getServerAuthCode(););
} else {
showSignInError(result.getStatus().getStatusCode());
}
在服务器上交换该用户的访问令牌的验证码。
GoogleTokenResponse tokenResponse =
new GoogleAuthorizationCodeTokenRequest(
HTTPTransport,
JacksonFactory.getDefaultInstance(),
"https://www.googleapis.com/oauth2/v4/token",
clientSecrets.getDetails().getClientId(),
clientSecrets.getDetails().getClientSecret(),
authCode,
"")
.execute();
然后,服务器可以验证访问令牌以获取用户的ID 安全
ApplicationVerifyResponse resp = gamesAPI.applications().verify
(applicationId).execute();
Log.d(TAG, "The player id is " + resp.getPlayerId());
有一个示例显示了如何在GitHub中执行此操作:https://github.com/playgameservices/clientserverskeleton