billingclient QueryPurchases方法的Google文档表示以下内容:
"建议用于安全目的,通过调用以下API:https://develovelers.google.com/android-publisher/api-ref/purchass/productass/productss,在后端(如果有的话(上进行购买验证(如果有(。/获取"
这是链接:
https://developer.android.com/reference/com/android/billingclient/api/billingclient.html#queryperpurchase(java.lang.string(
我已经建立了一个API,并通过服务器与它建立了通信,并进行了一些初始测试,但是我越研究它,我就越质疑它的需求。如果您的代码可以被解码,那么您在后端进行的任何验证肯定都可以在应用程序的代码中颠覆。
我的理解是,Google在本地设备上缓存了这些购买,并定期缓存,并且此缓存是Queryperchases从中取出购买的地方。
通过对这些购买进行后端验证,我将尝试防止哪种类型的攻击?
Google Play处理交易并保留购买记录,您的后端提供了购买收据,并且从Google那里得到了回复,用户无法在Google的计费系统和这就是您的后端所依赖的,如果用户确实确实在应用程序中购买了您,并且他们的信用卡已被Google收取,那么该记录是可靠的,即使用户将其分解为您的应用程序,用户也无法更改它。除了被暴露为恶意演员外,还会获得任何东西。应用程序计费系统实现的良好是水密性,即使不是不可能的游戏,也极其困难。