【Android开发API】Google提供的服务：安全与设计 - Security and Design.pdfVIP

eoe 移动开发者社区 负责⼈：玄月冰灵 原文链接：/guide/google/play/billing/billing_ best_ practices.htm 当你在设计实现你的应用内支付时，确保跟随在 个文档中讨论的安全与设计指南 。 些向导是为使用Google Play应用 内支付服务推荐的最佳实践 。 安安全全最最佳佳实实践践 在在服服务务器器上上完完成成签签名名验验证证任任务务 如何实践，你应该在⼀个远程服务器上而不是设备上完成签名验证 。在服务器上实现验证处理使攻击者很难通过逆向⼯程 你的APK文件来破坏验证处理 。如果你向⼀个远程服务器卸载安全处理，确保设备到服务器的握手是安全的。 保保护护你你 的的未未加加密密 内内容容 要阻止恶意用户重新发布你的未加密内容，不要把它和你的apk文件捆绑，以以下⼀种方法代替： 使用实时服务发送你的内容，例如内容源 。通过实时服务发送内容允许你的内容始终为最新的。 使用远程服务器发送你的内容 。 当你从远程服务器发送内容或使用实时服务，你可以把未加密内容存储在设备内存中或SD卡中。如果存储在SD卡中，确 保加密内容且使用设备指定的密钥 。 打打乱乱你你 的的代代码码 你应该打乱你的应用内支付代码使攻击者很难逆向⼯程你的安全协议和其他应用组件 。在最低程度，我们推荐你在代码中 使用Proguard打乱⼯具 。 除了运行打乱程序时，我们推荐你使用以下技术打乱应用内代码 。 内联方法进⼊其他方法 使字符串忙碌代替定义为常量 使用 AVA映像访问方法 使用 些技术可以帮助减少你应用的攻击面和帮助最⼩化攻击来妥协应用内支付的实现 。 注释：如果你使用Proguard来打乱代码，你必须在Proguard设置文件中使用以下行： -keep class com.android.vending.billing.* * 修修改改所所有有 的的样样例例应应用用代代码码 应用内支付样例代码是公开发行的，任何⼈都可以下载， 也意味着如果你使用样例代码正如它发布时那样，将使攻击者 非常容易逆向⼯程你的应用 。样例代码应用只打算作用⼀个例⼦使用 。如果你使用样例应用的任何部分，你必须在你发布 前修改它，或作为产品应用的⼀部分释出。 特别的是，攻击者寻找应用的⼊⼝和出⼝，因此对你来说修改你应用的 些和样例代码相同的部分十分重要 。 使使用用安安全全随随机机数数 随机数必须不可预测和重复 。总是使用⼀种加密安全随机数生成器 （例如SecureRandom）当你生成随机数， 可以帮助 2/4 eoe 移动开发者社区 减少重复攻击 。 也就是，如果你在⼀个服务器上执行随机数验证，确保你在服务器上生成随机数 。 采采取取行行动动对对抗抗商商标标和和版版权权侵侵犯犯 如果你看到你的内容在Google Play被重新发布，果断快速采取行动 。文件商标侵犯通知和版权侵犯通知 。 如果你使用远程服务器发送或管理内容，使你的应用无论何时进⼊内容验证未加密内容的购买状态， 将允许你必要时撤 销使用和减少盗版 。 保保护护你你 的的Google Play公公钥钥 要在恶意用户和黑客面前保护你的公钥安全，不要嵌⼊任何例如文字字符串的代码，⼀部分在运行时构建字符串或使用位 运算 （例如：异或⼀些其他字符串）来隐藏真实的密钥 。密钥并不是密码信息，但是如果你不想使黑客或恶意用户很容易 就用任何密钥替代公钥的话 。 贡献者: iceskysl iceskysl ©eoe移动开发者社区 本文链接: /page/Security_and_ Design 3/4 eoe 移动开发者社区