Google Checkout API を使用して、サーバーからの Android アプリ内購入を確認しようとしています。この他のクエリ ( Android マーケットのアプリ - HTTP 通知が来ない) によると、コールバックが得られないため、ポーリング API を使用しています。
すべての情報はブラウザでマーチャント アカウントにログインしているユーザーにすでに表示されているにもかかわらず、ポーリングが購入に関する通知を受け取る前に 5 ~ 6 分の遅延が発生することを除いて、正常に動作しています。APIドキュメントを確認すると、「Polling APIを使用すると、180日未満で少なくとも30分経過したすべての通知を取得できます」と記載されているため、さらに時間がかかる可能性があることが示唆されています.
この遅延は典型的なものですか (私は英国にいます)? ポーリング API は、Android のアプリ内購入を確認するための推奨される方法ですか?
私の意見では、サーバーで Google Checkout Polling API を介して GP LVL や IAB 情報を検証しようとするのは最善の方法ではありません。とにかくサーバーがある場合は、はるかに優れたオプションが利用可能です.
記事Securing Android LVL Applicationsで述べたように、最善の方法は、信頼できるサーバーでライセンス情報を検証することです。こんなふうになります:
com.android.vending.licensing直接使用してください。Google デベロッパー コンソールのアプリ キーをアプリに含めないでください。アプリには必要ありません。ILicensingService.checkLicense()。サーバーは安全なランダムナンスをアプリに提供します。アプリはILicensingService.checkLicense()そのノンスで呼び出します。ILicenseResultListener.verifyLicense()、署名付きデータと署名を提供する を介してアプリをコールバックします。(ヒント: 署名されたデータにはノンスが含まれているため、ここではリプレイ攻撃も不可能です。)1 つの違いを除いて、同じことが IAB にも当てはまります。残念ながら、IAB V3 は の nonce では機能しませんgetPurchases()。その理由はおそらく、IAB サービス自体 (Google アプリ側の参照コードだけでなく) がキャッシュを広範囲に使用しているためです。それでも、購入の場合は、返される署名付きデータに含まれるdeveloperPayloadtoを渡すことができます。したがって、有効期限の基準がないか、ある種の暗黙的(時間ベース) またはサーバー管理の明示的である限り、com.android.vending.billing.IInAppBillingService.getBuyIntent()getPurchases()アプリ内購入の有効期限の基準はありませんが、API はまだ十分に安全です。サーバーは期限切れのアイテムを消費するようにアプリに要求しますが、それが失敗してもサーバーはそれを認識しており、アイテムを何度も消費するようにアプリに要求できるため、問題はありません。
このトピックについて少し光を当てることができれば幸いです。