Android 将许可证验证卸载到受信任的服务器

发布于 2024-11-01 23:26:30 字数 745 浏览 0 评论 0原文

我一直在阅读有关 LVL 的内容，并且之前已经在我的应用程序中实现了它，并通过闪屏检查许可证。但我确信您可能已经猜到它很容易被破解。我并不是想保护我的应用程序并做到 100% 万无一失，只是想让破解者阻止尝试。

由于我的应用程序需要在线连接并且经常从我的服务器获取数据，因此我想在服务器端实现许可证检查，如果许可证有效，它将返回数据，如果无效，则不会返回任何内容。

我在这里阅读了这篇博客文章：

“如果您的应用程序有一个在线组件，则防止盗版的一种非常强大的技术是将 ResponseData 类中包含的许可证服务器响应的副本及其签名发送到您的在线组件然后，您的服务器可以验证用户是否已获得许可，如果没有，则拒绝提供任何在线内容，

因为许可证响应是经过加密签名的，您的服务器可以检查以确保许可证响应没有被篡改。存储在的 RSA 公钥Android Market 发布者控制台。

执行服务器端验证时，您需要检查以下所有内容：

响应签名是否有效。许可证服务返回了 LICENSED 响应。包名称和版本代码与正确的应用程序匹配。许可证响应尚未过期（额外检查 VT 许可证响应）。您还应该记录 userId 字段，以确保破解的应用程序不会重播其他许可用户的许可证响应。（这可以通过来自单个 userId 的异常大量许可证检查来看出。）”

我只需要帮助来开始如何执行服务器端验证。是的，我可以获得响应签名、LICENSE 或 NOT_LICENSED 响应，软件包名称、许可证到期，但如何在我的服务器上检查？

如果您能提供任何帮助，我们将不胜感激。

原文