我正在创建一个付款android库(aar),我必须确保我在back-end中收到的所有请求均来自我的库,而不是伪造的库。
我该怎么办?
答案 0 :(得分:0)
我以前使用过两种方法:
1-简单又糟糕的方法:尝试在应用中使用像JWT这样的硬编码字符串,并使用强大的混淆器来避免对应用进行反编译。
2-更好的方法:您可以使用instance id并将其发送到后端,服务器可以从Google查询此ID,并且服务器中可以使用响应中的一些元素package id来接受或拒绝该请求。
来自Google的示例回复:
{
"application":"com.iid.example",
"authorizedEntity":"123456782354",
"platform":"Android",
"attestStatus":"ROOTED",
"appSigner":"1a2bc3d4e5",
"connectionType":"WIFI",
"connectDate":"2015-05-12
}
}
参考:https://developers.google.com/instance-id/reference/server