如何在我的服务器上验证应用程序是否已通过 Android Market 成功购买？

Question

我有一个接收优质内容的 Android 应用程序，我想在服务器端验证该应用程序是通过 Android Market 购买的。我可以使用许可服务来检查应用程序的访问权限，有没有办法从服务器连接到许可服务？如果没有，我可以使用 Google Checkout API 数据来验证购买吗？

Answer 1

Android Market 许可服务响应使用私钥进行签名，并且签名与签名数据一起发送。使用开发者控制台中的公钥，您可以验证签名对于已签名的数据是否有效。只有使用私钥生成的签名对于给定数据才有效。同样，如果数据已被更改，签名将不再正确。

在您的 Android 应用程序中，您可以将签名和签名数据发送到内容服务器，内容服务器可以验证签名并在签名有效时允许访问内容。

如果您使用 PHP，可以使用函数 openssl_verify 来验证签名。

如果您使用 Java，您可以在 LicenseValidator.verify 中了解 Android 库如何验证签名。