在Android应用内结算的示例代码中,验证逻辑写在应用程序中,从市场服务器返回的json字符串只是人类可理解的纯文本形式,没有任何加密。 如果有人非常精通去编译,那么整个验证将非常容易受到攻击。此外,验证仅保证向市场服务器付款的交易过程,但忽略了交易的安全性或虚拟商品的交付,这就产生了我们如何保证应用程序之间的账单安全验证的问题。我们自己的服务器,例如防止在将它发送到我们自己的服务器之前故意改变从市场服务器返回的购买状态?
答案 0 :(得分:0)
从Android市场购买你需要提供一个nonce。这个nonce只是一个随机的long值.JSON包含nonce基于nonce你可以验证它是否是你发送的。