尝试遵循应用内部分的一些安全准则 在这里购买: http://developer.android.com/guide/market/billing/billing_best_practices.html 我试图在服务器而不是在服务器上进行签名验证 app iteself。我理想的是喜欢使用php openssl库和 它看起来像以下代码应该工作:
$public_key_str = file_get_contents("./pubKey/out");
$public_key_str = trim($public_key_str);
$key = openssl_get_publickey($public_key_str);
if(!$key)
{
echo 'Can\'t get public key';
}
$signature = base64_decode( $signature );
$ok = openssl_verify($data, $signature, $key);
var_dump($ok);
我知道我的签名和公钥都是正确的,但$ ok是0!签名我尝试使用来自应用程序购买包的字符串。猜猜我的钥匙是正确的,问题是签名。当我尝试用base64解码它时:openssl enc -base64 -d -in signature -A> signature.bin,我的字符串与base64_decode()相同。有什么想法吗?
UPD:我真的不知道我应该在openssl_verify()中传递什么作为$ data?我的数据如下:
$data = '{"nonce":5550262978898439313,"orders":[{"notificationId":"android.test.purchased","orderId":"transactionId.android.test.purchased","packageName":"com.ads.testbilling","productId":"android.test.purchased","purchaseTime":1308224646237,"purchaseState":0}]}';
答案 0 :(得分:1)
看看OAuth.php我想你可以在googlecode.com上看到它 它使用openssl_verify()我认为他们使用的$数据是一个URL