0

サーバーに送信されるアプリケーション ユーザーに関する暗号化された情報が必要です。また、サーバーが送信された情報を検証し、暗号化された応答を返信するため、クライアントは応答に応じて何をすべきかを知ることができます。JSON と POST PHP を使用してこれにアプローチする必要があると思いますが、セキュリティ面で何をすべきかわかりません。

例があります。クライアントはアプリ内課金を通じてコインを購入します。サーバーはアプリ内課金から通知を受け取り、クライアントが持っているコインの数を更新します。次に、クライアントはコインを使用してゲーム内のアイテムを購入し、その検証と ID をサーバーに送信します。これをサーバーが検証し、クライアントが不正行為を行ったために禁止されていること、コインが不十分であること、またはクライアントに購入を許可することを示す応答コードを送信します。問題のアイテム。

いくつか質問があります。

  1. アプリケーションやゲームはいつでもクライアント側でハッキングされる可能性がありますが、検証がサーバーと一致する場合は次第に難しくなることを理解しています. クライアントが応答コードと検証の送信をいじることが非常に困難であることを確認するにはどうすればよいですか? SSLで十分でしょうか?もしそうなら、Android の php 投稿に SSL を実装する方法についての記事を教えていただけませんか?

  2. Google 請求はどのようにユーザーを確認しますか? 電子メールまたはデバイス ID で?

4

1 に答える 1

0

ここに 書いて あり ます. コインの例では、管理されていないアプリ内課金が必要になる可能性があります。管理対象外とは、Google Play がトランザクションを保存せず、ユーザーを追跡する責任があることを意味します (電子メール、デバイス ID、その両方、またはユーザー名によって)。

セキュリティに関しては、要件によって異なります。Google Play のアプリ内課金では、独自のサーバーを展開する必要はありません。ネットワークと通信する必要さえありません。プロキシのように機能する Play アプリによってすべて管理されます。独自のサーバーを使用する場合、SSL はトランスポートセキュリティのみを付与します。つまり、通常は HTTP では保証されないメッセージの整合性機密性が、SSL によって保証されるようになりました。これにより、中間者攻撃などを防ぐことができますが、アプリケーション レベルの欠陥からアプリを実際に保護することはできません。

バックエンドに標準の RESTful インターフェースがある場合、パスワードなどの少なくとも1 つの個人情報に対してユーザーを認証する必要があります。1234567890そうしないと、公開データであるまたはになりすます要求を誰でも行うことができjohn@example.comます。つまり、ユーザーのアカウントを作成し、HTTPS 経由で通信するだけで済みます。

于 2012-09-29T15:09:08.917 に答える