SORU
27 Ocak 2013, Pazar


Neden in-app fatura ile geliştirici yükü ayarlamak için önemlidir?

In-app fatura API sürüm 3 kullanıyorum. Tek, olmayan sarf yönetilen bir madde var. Benim app bu özelliği henüz piyasaya değil, herhangi bir satın alma vardır önce satın yükü içeriğini karar vermek istiyorum.

"Security Best Practices":

Satın alma isteklerini yaparken geliştirici yükü dizesini ayarlayın

In-app Fatura Sürüm 3 API ile, bir 'geliştirici ekleyebilirsiniz yük satın alma isteği Google'a gönderirken' string token Oyna. Genellikle, bu bir dize benzersiz bir belirteç olarak kullanılır tanımlar bu satın alma isteği. Sen bir dize belirtin,eğer Google Play satın yanıtı ile birlikte bu dize döndürür. Bu satın alma ile ilgili sorgular yaptığınızda, daha sonra Google Play bu dize, satın alma ayrıntıları ile birlikte döndürür.

Uygulamanıza yardımcı olan bir dize ifadesi olarak geçmesi daha sonra doğrulamak için satın almayı yapan kullanıcı tanımlamak, bu kullanıcı tarafından meşru bir satın alma. Sarf malzemeleri için, rasgele bir dize kullanabilirsiniz, ama olmayan sarf malzemeleri için eşsiz bir kullanıcı olarak tanımlayan bir dize kullanmak gerekir.

Geri Google gelen yanıt, doğrulamak için emin olsun Oyun yapmak geliştirici yükü dize gönderdiğiniz belirteci eşleşen satın alma isteği ile daha önce. Ek bir güvenlik olarak önlem, kendi doğrulama yapmalıdır güvenli server.

Doğru ya da yanlış, karar verdimdeğil"daha fazla güvenlik önlemi" satın alma doğrulama gerçekleştirmek için bir sunucu kurma. almak için Ve ben her zaman fatura API çağrısı, satın alma -- benim kendi plak dükkanı. Yani gerçekten bana bu yükü kontrol etmek için herhangi bir neden var mı? Doğrulama API kendisi kesinlikle doğrular kimliği bir kullanıcı rapor etmeden önce bir öğe olarak satın, ve eğer bir saldırganın tehlikeye sahip bir cihaz (ya da uygulaması veya google play API), hiç bir şey göremiyorum yarar bir ek kontrol kullanıcının Tespit Cihazı nerede olabilir kolayca atlatılabilirdi. Ya da orada yapmak için bir sebep bu diye düşünüyorum.

CEVAP
28 Ocak 2013, PAZARTESİ


Eğer bir kayıt yok eğer doğru değilse ne gönderdin ne olduğunu doğrulamak için bir yolu yoktur. Eğer öyleyse sana bir şey eklemek için geliştirici yükü, senin de güven bu meşru (makul bir varsayım, eğer imzayı doğrular), veya güven tamamen ve yalnızca bir referans, ama doğrulamak için lisans durumu, vb. Eğer mağaza kullanıcı e-posta, örneğin, kullanım değeri yerine sorup onlara girin tekrar, biraz daha kullanıcı dostu, ancak uygulama kırılmaz değil.

Şahsen, bütün bu 'en iyi uygulamalar' kısmı kafa karıştırıcı ve API gerçekten yapması gereken işi yaptırıyor çalışıyor. bence Satın alma bir Google Hesabına bağlı ve Play Store açıkçası bu bilgileri kaydeder beri, sadece satın detaylara bu vermeliler. Doğru kullanıcı KİMLİĞİ alma sadece IAB API eksiklikleri için kapak eklemek gerekmez ek izinler gerekir.

Kendi sunucu ve özel eklenti mantığı var sürece yani, Kısacası, sadece geliştirici yükü kullanmayın. TAMAM, IAB v3 API çalıştığı sürece olmalıdır, ne yazık ki, çok büyük olan (bu noktada).

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • CaptainDisillusion

    CaptainDisil

    18 EYLÜL 2007
  • The Onion

    The Onion

    14 Mart 2006
  • JeezyVEVO

    JeezyVEVO

    12 Mayıs 2009