Android アプリでサブスクリプションを実装しています。私のサービス名は FOO だとします。ユーザーは FOO ユーザー名で FOO にログインし、一部のプレミアム FOO サービスに加入できます。
Google Play から取得したpurchaseTokenは、ローカル DB に保存し、HTTPS 接続を介してリモート サーバーに送信する重要な要素です。リモート サーバーはget APIを呼び出して購入の領収書を検証し、その結果に応じて、その FOO ユーザー名の一連のプレミアム サービスを有効にします。
ここで私の質問は、ユーザーがハッキングしてpurchaseTokenDB から取得しようとしたり、パケットを盗聴したりした場合、別の FOO ユーザー名でそれを検証できるということです。ではない?常に安全であることを確認するにはどうすればよいですか?
いくつかの選択肢を思いつくことができますが、どれが最も安全で誰にでもできる最良のものかはわかりません。
まず、保存中に難読化/暗号化します。それはまだRE可能です。少し努力すれば、ハッキング可能です。
purchaseTokens次に、サーバー側で一意であることを確認してください。私には問題ないように思えますが、私は少し妄想的で、これが他の問題を引き起こすかどうかはわかりません.
どう思いますか?