我正在使用anjlab中的BillingProcessor。
其中具有功能:
String licenceKey = "My license key from Google Play";
bp = BillingProcessor.newBillingProcessor(this, /*"YOUR LICENSE KEY FROM GOOGLE PLAY CONSOLE HERE" null if checking test*/ licenceKey, this);
其中licenceKey是在Google Play控制台中找到的真正长字符串。
但是,我的问题是:
1。将我的Google Play许可证密钥放在可以进行反向工程的代码中是否安全?
2。如果不安全,该怎么办?
答案 0 :(得分:1)
安全-是和否。这是安全的,因为您不会泄漏任何危险信息。该密钥只是Google为您的应用提供的公共密钥,可让您检查购买消息是否来自Google。如果它在Internet上发布,则不会造成很大的安全损失。
但是,每当您在Android应用中进行验证时,都容易受到应用更改的影响。攻击者可以修改您的APK来执行检查,并免费提供您的IAP。如果您的应用程序必须脱机工作或没有服务器端部分,那么您无能为力。但是,如果您的应用程序确实包含服务器端组件,则在服务器上验证购买的内容要安全得多。这取决于您的应用程序的设计。