我现在对概念和需求的理解真是一头雾水,甚至不知道如何通过编码实现。
所以,我用unity,c#做了手游。使用 php、mysql 获取高分并存储用户在应用程序中购买的商品信息。
我一周前在 google play 上发布了我的游戏,但我的 google 钱包显示直到现在还没有人购买过该游戏中的任何元素。
但是,当我检查我的游戏服务器(mysql 数据库)时,有些用户有大量的元素需要购买。
这意味着一些用户使用黑客工具并绕过 google play 检查过程并欺骗我的游戏并进行虚假购买。
所以我没有实现 developerPayload,也没有验证 google play 购买收据。
所以现在我在我的数据库中删除了整个恶意用户的项目,(这会将 0 设置为该用户的客户端项目),并希望对 google play 购买收据实现服务器端验证。
google了很多帖子,从头到尾都没有完美的解决办法。
无论如何,到目前为止我是这样实现的。
首先,在用户结束 google checkout 过程后(无论这是真的还是假的),我的 unity 客户端的 OnPurchaseSucceded 函数被调用,在那里我开始在我的服务器上通信我的 php 脚本。
private void OnPurchaseSucceded(Purchase purchase)
{
/*
// Optional verification of the payload. Can be moved to a custom server
if (!VerifyDeveloperPayload(purchase.DeveloperPayload)) {
return;
}*/
StartCoroutine(VerifyReceiptCo(purchase));
}
IEnumerator VerifyReceiptCo(Purchase purchase)
{
WWWForm hsFm = new WWWForm();
hsFm.AddField("data", purchase.OriginalJson);
hsFm.AddField("signature", purchase.Signature);
WWW hs = new WWW(verifyURL, hsFm);
yield return hs;
Debug.Log("verify result is " + hs.text);
// if result is true(validated), give item to user.
}
还有这里的问题,
<强>1。 [我在代码上面做了吗?对于“数据”字段,我使用了 purchase.OriginalJson,但这是对的吗?如果没有,我应该使用什么?]
并从 php 接收到这些信息后(上述代码的 verifyURL),
$base64EncodedPublicKey = "MY game's public key from google play console";
$signedData = $_POST['data'];
$signature = $_POST['signature'];
$key = openssl_pkey_get_public($base64EncodedPublicKey);
$verified = (openssl_verify($signedData, base64_decode($signature), $key, OPENSSL_ALGO_SHA1) > 0);
$result = openssl_verify($signedData, base64_decode($signature), $key, OPENSSL_ALGO_SHA1);
if ($verified) {
echo 'verified : result is'.$result;
} else {
echo 'fail : result is'.$result;
}
另一个问题,
<强>2。 [我是否需要付费 SSL 服务才能像上面的 php 代码一样使用 openssl_ 方法?] 我正在使用 hostgator.com 的虚拟主机,我的计划已经有“共享 SSL”服务,这就够了吗?还是我应该购买另一个私有(private) SSL 服务计划?]
<强>3。如果不使用 openssl(不使用 SSL 服务)方法,是否无法验证这一点?
<强>4。总的来说,我在处理黑客用户方面的方向是正确的吗? 非常感谢。
最佳答案
这是我用于验证谷歌订单的代码。它适用于我公司的所有产品。非常简单的代码。
function verifyGoogleOrderLocal($packageName, $jsonData, $sig)
{
$public_keys = array(
'package1' => 'key1',
'package2' => 'key2',
);
if(!$public_keys[$packageName]) {
return array("success"=>0,"reason"=>'no public key defined');
}
$key = get_openssl_key($public_keys[$packageName]);
if(!$key) {
return array("success"=>0,"reason"=>'invalid public key');
}
$result = openssl_verify($jsonData, base64_decode($sig), $key, OPENSSL_ALGO_SHA1);
$resp = array('success'=>$result);
if($result==0) $resp['reason'] = 'invalid signature';
return $resp;
}
function get_openssl_key($publicKey)
{
$key = "-----BEGIN PUBLIC KEY-----\n" . chunk_split($publicKey, 64, "\n") . '-----END PUBLIC KEY-----';
$key = openssl_get_publickey($key);
return $key;
}
关于php - 从服务器端验证 google play 购买,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30420847/
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初,我将所有3列的:default=>0放在表格中,但我不想要这样,因为它已经填充了字段,我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
我有一个表单,其中有很多字段取自数组(而不是模型或对象)。我如何验证这些字段的存在?solve_problem_pathdo|f|%>... 最佳答案 创建一个简单的类来包装请求参数并使用ActiveModel::Validations。#definedsomewhere,atthesimplest:require'ostruct'classSolvetrue#youcouldevencheckthesolutionwithavalidatorvalidatedoerrors.add(:base,"WRONG!!!")unlesss
最近,当我启动我的Rails服务器时,我收到了一长串警告。虽然它不影响我的应用程序,但我想知道如何解决这些警告。我的估计是imagemagick以某种方式被调用了两次?当我在警告前后检查我的git日志时。我想知道如何解决这个问题。-bcrypt-ruby(3.1.2)-better_errors(1.0.1)+bcrypt(3.1.7)+bcrypt-ruby(3.1.5)-bcrypt(>=3.1.3)+better_errors(1.1.0)bcrypt和imagemagick有关系吗?/Users/rbchris/.rbenv/versions/2.0.0-p247/lib/ru
在Rails4.0.2中,我使用s3_direct_upload和aws-sdkgems直接为s3存储桶上传文件。在开发环境中它工作正常,但在生产环境中它会抛出如下错误,ActionView::Template::Error(noimplicitconversionofnilintoString)在View中,create_cv_url,:id=>"s3_uploader",:key=>"cv_uploads/{unique_id}/${filename}",:key_starts_with=>"cv_uploads/",:callback_param=>"cv[direct_uplo
我有一些非常大的模型,我必须将它们迁移到最新版本的Rails。这些模型有相当多的验证(User有大约50个验证)。是否可以将所有这些验证移动到另一个文件中?说app/models/validations/user_validations.rb。如果可以,有人可以提供示例吗? 最佳答案 您可以为此使用关注点:#app/models/validations/user_validations.rbrequire'active_support/concern'moduleUserValidationsextendActiveSupport:
当我的预订模型通过rake任务在状态机上转换时,我试图找出如何跳过对ActiveRecord对象的特定实例的验证。我想在reservation.close时跳过所有验证!叫做。希望调用reservation.close!(:validate=>false)之类的东西。仅供引用,我们正在使用https://github.com/pluginaweek/state_machine用于状态机。这是我的预订模型的示例。classReservation["requested","negotiating","approved"])}state_machine:initial=>'requested
我有一个服务模型/表及其注册表。在表单中,我几乎拥有服务的所有字段,但我想在验证服务对象之前自动设置其中一些值。示例:--服务Controller#创建Action:defcreate@service=Service.new@service_form=ServiceFormObject.new(@service)@service_form.validate(params[:service_form_object])and@service_form.saverespond_with(@service_form,location:admin_services_path)end在验证@ser