[英]How to remember that the item is purchased or not in android app billing service?
[英]Android billing - Testing purchases with android.test.purchased in production/alpha/beta
我正在使用Google Play结算API(v3),并且正在使用sku=android.test.purchased
测试应用内购买。 为此,我从助手类修改了Security.verifyPurchase
方法,如下所示:
public static boolean verifyPurchase(String base64PublicKey, String signedData, String signature, String sku) {
if (TextUtils.isEmpty(signedData) || TextUtils.isEmpty(base64PublicKey) || TextUtils.isEmpty(signature)) {
Log.e(TAG, "Purchase verification failed: missing data.");
if ("android.test.purchased".equals(sku) || BuildConfig.DEBUG) {
Log.e(TAG, "This was a test purchase");
return true;
}
return false;
}
PublicKey key = Security.generatePublicKey(base64PublicKey);
return Security.verify(key, signedData, signature);
}
我的代码与我发现的教程中的代码略有不同:我添加了以下代码:
"android.test.purchased".equals(sku)
最初,仅添加了对BuildConfig.DEBUG
的验证,但是我需要让测试用户可以快速购买产品,而无需添加他们的付款数据。
我的问题是:如果我在生产应用中使用此代码,是否会遇到很大的安全问题(或者仅对于alpha / beta来说还可以)?
对于生产版本,此修改绝对不可行,因为它会禁用响应验证。 如果攻击者没有提供base64PublicKey
, signedData
, signature
和测试sku
您在代码中有,那么你的应用程序将允许使用应用程式功能,在生产中实际上不为他们支付。
如果在DEBUG版本中,您想允许所有sku's
,只需删除您的支票即可。 如果只想允许您的sku
,请使用&&
运算符或以下代码。
if (BuildConfig.DEBUG) {
Log.e(TAG, "This was a test purchase");
return "android.test.purchased".equals(sku);
}
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.