我在安卓应用程序中使用谷歌IAP v3。我使用GoogleIabHelper
类实现了签名检查。我还使用几乎相同的代码检查服务器端的签名。
在服务器日志中,我发现很多购买都是无效的。以下是两个有效采购和一个无效采购的示例数据:
有效购买
#1
orderId: 12399363269014736759.1358132323863451
purchaseTime: 1416079768157
purchaseToken: olcgkklnpigiceancikanedj.AO-J1O...
dataSignature matches: yes
response from androidpublisher API: purchaseTimeMillis = 1416079768157, purchaseState = 0
#2
orderId: 12399363269014736759.1311230454123912
purchaseTime: 1415844666976
purchaseToken: ajkaitpnfgotgkmhlboatkmc.AO-J1O...
dataSignature matches: yes
response from androidpublisher API: purchaseTimeMillis = 1415844666976, purchaseState = 0
无效购买
orderId: 6246434551497330082
purchaseTime: 1415813103372
purchaseToken: xdavcuvdnniwwrhwemleqjdz.rSQozm...
dataSignature matches: no
response from androidpublisher API: "code": 400, "message": "Invalid Value"
正如你所看到的,这两笔有效购买的数据看起来很相似。两个dataSignatures
都是正确的,androidpublisher
API返回这些采购的有效数据。
现在看看无效的购买:
orderId
不符合有效购买的模式purchaseTime
已经成为过去(2014年11月12日18:25:03 GMT+0100 (CET)),尽管这次收购是在今天进行的。purchaseToken
前缀在.
(点)之后是不同的dataSignature
不匹配androidpublisher
API返回Invalid Value
很确定这是无效的购买,是吧?每天要买2-4件这样的东西怎么样?我想知道IAP欺诈是真正的问题还是我的代码和IAP验证有问题。有人能分享他们使用谷歌IAP v3进行无效采购的经验吗?
发布于 2014-11-28 15:06:53
在深入挖掘之后,我们发现有很多方法可以破解IAP,但良好的购买验证却阻止了它(如问题中所示)。
首先,无效的购买(全部)是在根设备上进行的。我还询问了一些用户的购买情况,其中一人同意他正在使用一些apk,允许免费购买IAP项目。
结论:代码一切正常,用户有问题。
https://stackoverflow.com/questions/27156156
复制相似问题