Google 使用来自 anjlab 的 BillingProcessor 时播放的安全性
Security in Google Play when using BillingProcessor from anjlab
我正在使用来自 anjlab 的 BillingProcessor。
其中的作用是:
String licenceKey = "My license key from Google Play";
bp = BillingProcessor.newBillingProcessor(this, /*"YOUR LICENSE KEY FROM GOOGLE PLAY CONSOLE HERE" null if checking test*/ licenceKey, this);
其中 licenceKey 是在 Google Play 控制台中找到的非常长的字符串。
但是,我的问题是:
1.将我的 Google Play 许可证密钥放入可以逆向工程的代码中是否安全?
2。如果不安全,我该怎么办?
安全 - 是也不是。这是安全的,因为您不会泄露任何危险信息。此密钥只是来自 Google 的 public 密钥,用于您的应用程序,可让您检查购买消息是否来自 Google。如果将其发布在互联网上,安全性不会有太大损失。
但是,每当您在 Android 应用程序中进行验证时,您的应用程序就很容易被篡改。攻击者可以修改您的 APK 以取消检查,并免费提供您的 IAP。如果您的应用程序必须离线工作或没有服务器端部分,那么您对此无能为力。但是,如果您的应用程序确实有服务器端组件,那么在您的服务器上验证购买会更安全。这取决于您的应用程序的设计。
我正在使用来自 anjlab 的 BillingProcessor。
其中的作用是:
String licenceKey = "My license key from Google Play";
bp = BillingProcessor.newBillingProcessor(this, /*"YOUR LICENSE KEY FROM GOOGLE PLAY CONSOLE HERE" null if checking test*/ licenceKey, this);
其中 licenceKey 是在 Google Play 控制台中找到的非常长的字符串。
但是,我的问题是:
1.将我的 Google Play 许可证密钥放入可以逆向工程的代码中是否安全?
2。如果不安全,我该怎么办?
安全 - 是也不是。这是安全的,因为您不会泄露任何危险信息。此密钥只是来自 Google 的 public 密钥,用于您的应用程序,可让您检查购买消息是否来自 Google。如果将其发布在互联网上,安全性不会有太大损失。
但是,每当您在 Android 应用程序中进行验证时,您的应用程序就很容易被篡改。攻击者可以修改您的 APK 以取消检查,并免费提供您的 IAP。如果您的应用程序必须离线工作或没有服务器端部分,那么您对此无能为力。但是,如果您的应用程序确实有服务器端组件,那么在您的服务器上验证购买会更安全。这取决于您的应用程序的设计。