Google Play In-app billing 版本 3 购买的服务器端验证

【问题标题】:Server-side verification of Google Play In-app billing version 3 purchaseGoogle Play In-app billing 版本 3 购买的服务器端验证
【发布时间】:2013-04-10 15:17:06
【问题描述】:

在向用户提供可下载内容之前,我无法找到关于如何在服务器上验证应用内结算购买的直接答案。

我在应用计费版本 3 中使用。我使用基于 TrivialDrive 示例代码中的 IabHelper 类的代码购买托管产品。一切都很好,购买成功完成,我得到了一个完整的购买对象和以下原始 JSON 数据:

{
    "orderId":"12999763169054705758.1364365967744519",
    "packageName":"my package name",
    "productId":"77",
    "purchaseTime":1366217534000,
    "purchaseState":0,
    "purchaseToken":"utfwimslnrrwvglktizikdcd.AO-J1OwZ4l5oXz_3d2SAWAAUgFE3QErKoyIX8WuSEnBW26ntsyDmlLgoUd5lshqIY2p2LnlV4tpH4NITB4mJMX98sCtZizH7wGf6Izw3tfW_GflJDKFyb-g"
}

据我了解,我需要将 purchaseToken 和我看到的称为签名的东西传递给服务器。然后服务器使用私钥来验证购买。它是否正确?如果是这样,我从哪里获得签名?真的没有关于服务器端购买验证的像样文档吗?

【问题讨论】:

  • 当您在社区中提出一些问题时,请始终记住一件事,不要放置敏感数据。敏感一词是指密码、任何交易的订单号等。只需用一些虚拟值更改它们即可。
  • 您是否找到任何用于服务器端验证的工作示例?
  • 如何使用和提取google上面的json数据?我想看看这方面的实际 php 代码。
  • 使用公钥而不是私钥完成签名验证

标签: android in-app-purchase in-app-billing


【解决方案1】:

1.用composer安装谷歌客户端PHP库

composer require google/apiclient:"^2.0"
  1. 创建服务帐户,它会为您提供 json 并保存为 credentials.json

  1. 开始代码

    require $_SERVER['DOCUMENT_ROOT'] . '/client/vendor/autoload.php';

$packageName='Your Package name'; //com.example.blahblah
$productId='your_product_ID';
$token='Purchase_Token_Form_Payment';

$client = new \Google_Client();
$client->setAuthConfig('credentials.json');
$client->addScope('https://www.googleapis.com/auth/androidpublisher');

$service = new \Google_Service_AndroidPublisher($client);
$purchase = $service->purchases_products->get($packageName, $productId, $token);

//echo $purchase['purchaseState'];
//echo '<br>';
echo json_encode($purchase);

结果会是这样的

{"acknowledgementState":1,"consumptionState":1,"developerPayload":"","kind":"androidpublisher#productPurchase","orderId":"GPA.3342-8146-5668-57982","productId":null,"purchaseState":0,"purchaseTimeMillis":"1586978561493","purchaseToken":null,"purchaseType":0,"quantity":null}

【讨论】:

  • 您好,我喜欢使用官方库来处理身份验证的方法。问题:服务帐户的外观如何,即需要授予哪些权限以及在哪里?我以为我在 Google 文档中看到过,但找不到了……非常感谢!
【解决方案2】:

这是一个非常古老的问题,但我认为它仍然相关。

我的小贡献。购买对象扩展了一个新参数“已确认”,现在它看起来:

{
  "orderId":"12999763169054705758.1364365967744519",
  "packageName":"my package name",
  "productId":"77",
  "purchaseTime":1366217534000,
  "purchaseState":0,
  "purchaseToken":"utfwimslnrrwvglktizikdcd.AO-J1OwZ4l5oXz_3d2SAWAAUgFE3QErKoyIX8WuSEnBW26ntsyDmlLgoUd5lshqIY2p2LnlV4tpH4NITB4mJMX98sCtZizH7wGf6Izw3tfW_GflJDKFyb-g",
  "acknowledged":true
}

所以在检查签名时要小心添加这个额外的参数。

【讨论】:

  • 不包含autoRenewing字段吗?
  • @KishanVaishnav 可能只是为了订阅而不是一次性产品?
【解决方案3】:

我对减少应用内购买欺诈的小小贡献

在您的 Android 代码上的外部服务器上进行签名验证:

verifySignatureOnServer()

  private boolean verifySignatureOnServer(String data, String signature) {
        String retFromServer = "";
        URL url;
        HttpsURLConnection urlConnection = null;
        try {
            String urlStr = "https://www.example.com/verify.php?data=" + URLEncoder.encode(data, "UTF-8") + "&signature=" + URLEncoder.encode(signature, "UTF-8");

            url = new URL(urlStr);
            urlConnection = (HttpsURLConnection) url.openConnection();
            InputStream in = urlConnection.getInputStream();
            InputStreamReader inRead = new InputStreamReader(in);
            retFromServer = convertStreamToString(inRead);

        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (urlConnection != null) {
                urlConnection.disconnect();
            }
        }

        return retFromServer.equals("good");
    }

convertStreamToString()

 private static String convertStreamToString(java.io.InputStreamReader is) {
        java.util.Scanner s = new java.util.Scanner(is).useDelimiter("\\A");
        return s.hasNext() ? s.next() : "";
    }

verify.php在虚拟主机的根目录

<?php
// get data param
$data = $_GET['data'];

// get signature param
$signature = $_GET['signature'];

// get key
$key_64 = ".... put here the base64 encoded pub key from google play console , all in one row !! ....";



$key =  "-----BEGIN PUBLIC KEY-----\n".
        chunk_split($key_64, 64,"\n").
       '-----END PUBLIC KEY-----';   
//using PHP to create an RSA key
$key = openssl_get_publickey($key);


// state whether signature is okay or not
$ok = openssl_verify($data, base64_decode($signature), $key, OPENSSL_ALGO_SHA1);
if ($ok == 1) {
    echo "good";
} elseif ($ok == 0) {
    echo "bad";
} else {
    die ("fault, error checking signature");
}

// free the key from memory
openssl_free_key($key);

?>

注意事项:

  • 您应该在您的 java 代码中加密 URL,如果没有,可以在您的解压缩应用程序 apk 中通过简单的文本搜索轻松找到该 URL

  • 最好将 php 文件名、url 参数、好/坏响应更改为毫无意义的内容。

  • verifySignatureOnServer() 应该在一个单独的线程中运行,如果不会抛出主线程上的网络异常。

希望对你有所帮助...

【讨论】:

  • 什么是String data, String signature
  • getPurchases() 返回一个拥有物品的捆绑包,数据和签名分别是捆绑包上“INAPP_PURCHASE_DATA_LIST”键和“INAPP_DATA_SIGNATURE_LIST”键的成员
  • 所以我们应该只验证它onActivityResultString purchaseData = data.getStringExtra("INAPP_PURCHASE_DATA"); String dataSignature = data.getStringExtra("INAPP_DATA_SIGNATURE"); p.s.最后没有_LIST,但我想还是一样吧?
  • 是的,你是对的,onActivityResult你得到了最后一次购买数据&签名,只有一个。在 getPurchases() 上,您会获得所有已购买商品的列表,在这种情况下,应该对每件商品进行验证。但是由于主UI线程无法访问网络并且无法调用外部服务器,onActivityResult存在问题,我所做的是在AsyncTask中执行
  • 您是否每次都验证已购买的商品?我的意思是你总是需要互联网连接
【解决方案4】: 
where do I get the signature from ?

看看official docs

它说在您的onActivityResult() 方法中,您可以获得以下数据,如示例所示,

    @Override
protected void onActivityResult(int requestCode, int resultCode, Intent data) { 
   if (requestCode == 1001) {           
      int responseCode = data.getIntExtra("RESPONSE_CODE", 0);
      String purchaseData = data.getStringExtra("INAPP_PURCHASE_DATA");
      String dataSignature = data.getStringExtra("INAPP_DATA_SIGNATURE");//this is the signature which you want

      if (resultCode == RESULT_OK) {
         try {
            JSONObject jo = new JSONObject(purchaseData);//this is the JSONObject which you have included in Your Question right now
            String sku = jo.getString("productId");
            String purchaseToken = jo.getString("purchaseToken");
           //you need to send sku and purchaseToken to server for verification
          }
          catch (JSONException e) {
             alert("Failed to parse purchase data.");
             e.printStackTrace();
          }
      }
   }
}

用于服务器端验证, 看看official docs

如前所述,客户端应用程序会将skupurchaseToken 发送到服务器API。服务器必须接收这些值,并且必须使用 android publish api 执行检查以验证购买:

服务器可以通过添加必要的参数来调用以下GET请求

https://www.googleapis.com/androidpublisher/v2/applications/packageName/purchases/products/productId/tokens/token

这里,
packageName = 客户端应用程序的 packageName
productId = 从客户端应用收到的 sku
token = 从客户端应用收到的 purchaseToken

这将导致JSONObject 响应格式:

{
  "kind": "androidpublisher#productPurchase",
  "purchaseTimeMillis": long,
  "purchaseState": integer,
  "consumptionState": integer,
  "developerPayload": string,
  "orderId": string,
  "purchaseType": integer
}

这里,purchaseState = 0 表示有效购买

希望对你有帮助!!

【讨论】:

  • 我不敢相信我忽略了这一点。 RTFM的教科书案例。谢谢!
  • 那么如何将上面的 json 数据传递给我的 php 服务器代码以及如何从那里使用(验证)它?
  • 这不是服务器端验证
  • 你拯救了我的一天:),谢谢。对于无法验证服务器端的人,请与我联系。我在 php 中成功验证了它的服务器端。
  • @KrunalPanchal 你能说说你是如何实现服务器端验证的吗?
【解决方案5】:

这个问题太老了,但我希望我的回答可以帮助别人。

您必须在客户端验证签名,然后您必须将purchaseToken传递给服务器端,然后服务器将联系Google的服务器 并获取有关购买的所有必要信息,例如purchaseStateconsumptionState

https://developers.google.com/android-publisher/api-ref/purchases/products

【讨论】:

  • 这是部分正确的。 Google 实际上建议尽可能在服务器端执行签名验证。这样您就不会在 android 应用中公开您的公钥。
  • 如何在客户端验证签名。
  • @Eran 你能在服务器端签名验证上发布一个指向谷歌文档的链接吗?
猜你喜欢
  • 2019-10-22
  • 2013-11-12
  • 1970-01-01
  • 2014-06-06
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2023-03-22
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode