У меня есть приложение для Android и покупка в приложении.Безопасность между Android и PHP webservice
Я хочу опубликовать user_id из тех, которые покупают его в моей удаленной базе данных через файл php.
Я знаю, что некоторые умные пользователи могут слушать сеть и видеть адрес моего php-сервиса. Они могут даже узнать, какие переменные я отправляю. Я знаю, как шифровать user_id, конечно. Я могу это сделать либо с RSA, либо с AES. Но мне нужно сохранить открытый ключ для RSA в приложении.
Вот мой вопрос: более умный злоумышленник может легко получить открытый ключ и зашифровать свой идентификатор пользователя и опубликовать его на веб-сервисе. Как предотвратить этот сценарий?
Почему вы хотите отправить PII с устройства пользователя на ваш сервер? Если это для лицензирования/DRM, вы еще не зарегистрировались [Лицензирование приложений Google Play] (http://developer.android.com/guide/market/licensing/)? –
Да, я уже это сделал. Поскольку я использую покупки в приложении, я следил за руководством по лицензированию покупок в приложениях. В этом руководстве ясно сказано, что обращение к Google Play для проверки приобретенных предметов должно выполняться только один раз при установке приложения. Я не могу проверять каждый раз, когда пользователь правильно открывает приложение? – tasomaniac
Дальше, руководство предназначено для платных приложений в основном. Мое приложение бесплатное и имеет покупки в приложении. – tasomaniac