我对安全或服务器知之甚少,但我正在开发一款允许用户购买应用内订阅的Android应用程序。根据建议,我想使用Google Play开发者API,并将必要的数据存储在我自己的服务器上。然而,如果我的代码中没有像这样的行,我想不出有什么方法可以做到这一点
if(userIsSubscribed){
//give access to purchased data
}
黑客显然可以进入并将其切换到if(true)
。我该怎么办?
至少要混淆应用程序代码。在发送内容之前,还要对服务器进行订阅检查。这也是他们拥有Web API的原因之一。
基本上,用户(和潜在的破解者)可以访问的任何东西(即你的应用程序)都是不可信的。他们无法直接访问的东西(即您的内容服务器)可以更受信任,最好尽可能将所有敏感操作和/或数据转移到那里。