标签：in-app-purchase in-app-billing android

我在Android应用中使用Google IAP v3.我已经使用GoogleIabHelper类实现了签名检查.我还在用几乎相同的代码检查服务器端的签名.

在服务器日志中,我发现很多购买都无效.以下是2次有效购买和1次无效购买的示例数据：

有效购买

#1
orderId:         12399363269014736759.1358132323863451
purchaseTime:    1416079768157
purchaseToken:   olcgkklnpigiceancikanedj.AO-J1O...
dataSignature matches: yes
response from androidpublisher API: purchaseTimeMillis = 1416079768157, purchaseState = 0

#2
orderId:         12399363269014736759.1311230454123912
purchaseTime:    1415844666976
purchaseToken:   ajkaitpnfgotgkmhlboatkmc.AO-J1O...
dataSignature matches: yes
response from androidpublisher API: purchaseTimeMillis = 1415844666976, purchaseState = 0

购买无效

orderId:         6246434551497330082
purchaseTime:    1415813103372
purchaseToken:   xdavcuvdnniwwrhwemleqjdz.rSQozm...
dataSignature matches: no
response from androidpublisher API: "code": 400, "message": "Invalid Value"

如您所见,两次有效购买的数据看起来相似.两个dataSignatures都是正确的,并且androidpublisher API返回这些购买的有效数据.

现在查看无效购买：

> orderId与有效购买的模式不匹配
>购买时间是过去的时间(2014年11月12日星期三18:25:03 GMT 0100(CET)),即使今天已购买
>后面的purchaseToken前缀不同. (点)
> dataSignature不匹配
> androidpublisher API返回无效值

可以肯定这是无效的购买吗？每天大约有2-4次这样的购买呢？我想知道IAP欺诈是真正的问题还是我的代码和IAP验证存在问题.有人可以分享使用Google IAP v3进行无效购买的经验吗？

解决方法:

经过更深入的研究,结果发现有许多方法可以破解IAP,但是良好的购买验证可以阻止它(如问题中所述).

首先,无效购买(全部)已在有根设备上进行.我还询问了一些有关他们购买的用户,其中一个同意他正在使用一些apk来免费购买IAP物品.

结论：代码一切正常,您的用户出了点问题.

标签：in-app-purchase,in-app-billing,android
来源： https://codeday.me/bug/20191121/2048435.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。