Как правильно защитить приложение?

Question

У меня есть приложение, которое создает учетную запись для веб-приложения, которое в основном отправляет и принимает SMS-сообщения из Интернета. Вот как это работает (еще не выпущено, ближе к концу функций первого релиза, которые я запланировал):

Пользователь покупает приложение. Пользователь вводит свое имя, адрес электронной почты и пароль. Учетная запись создается на сервере, и отображается окончательный вид, указывающий пользователю, где можно получить доступ к веб-приложению. Открываются фоновые процессы (C2DM и ContentObserver для SMS).

Все идет хорошо. Андроида часть этого приложения работает безупречно, но я боюсь, что люди делают несколько аккаунтов с одной покупки. Как я могу остановить это? Я не знаю, когда дело доходит до этой темы. Прежде всего, когда отображается конечный вид, пользователь может просто нажать назад, а затем воссоздать другую учетную запись. Как я могу помешать им снова войти в эту форму? Я думаю, что я могу просто установить SharedPreference, но тогда все, что нужно сделать пользователю, чтобы сделать еще одну учетную запись, - это удалить приложение, а затем переустановить его и пропустить другую учетную запись.

Мне нужен способ, поэтому, как только пользователь регистрируется в первый раз, нет возможности, чтобы они могли зарегистрироваться снова на этом конкретном телефоне (или в конкретной учетной записи Google). Есть ли реальный способ добиться этого? Любая помощь приветствуется, я застрял, когда дело доходит до этой темы.

Answer 1

Поскольку функция идентификации SIM (getSimSerialNumber) возвращает нуль на устройствах CDMA и * ANDROID_ID * называется то же значение на устройствах CDMA; с добавлением таблеток, которые не имеют ни одного из них, я настоятельно рекомендую реализовать свой собственный уникальный идентификатор в вашей базе данных и сопоставить его с учетной записью пользователя Google.

Однако, поскольку poweruser всегда может сбросить свое хранилище данных приложений и очистить их идентификацию от устройства (таким образом, ваш сеанс приложения на устройстве совершенно новый при запуске приложения), этот подход имеет свои оговорки.

Вы можете проверить это BlogPost для идей о создании вашего уникального идентификатора

http://android-developers.blogspot.com/2011/03/identifying-app-installations.html

Answer 2

Я бы сделал проверку на стороне сервера. Каждое устройство имеет уникальный идентификатор. Если вы сохраните это на стороне веб-сервера во время создания учетной записи, вы проверите, была ли уже сделана учетная запись на этом устройстве. Также добавьте ту же проверку для идентификатора Google, на всякий случай.

String android_id = Secure.getString(getBaseContext().getContentResolver(), 
       Secure.ANDROID_ID); 

Возможно стоит попробовать. Ваша самая безопасная ставка всегда будет чем-то на стороне сервера, так как сторона устройства легко смягчается, если люди действительно этого хотят.