购买令牌是代表买方有权获得的字符串 Google Play上的产品。它表示Google用户已付款 以SKU表示的特定产品
和
产品ID-您产品的唯一的人类可读ID。产品编号 在Google Play结算库中也称为SKU。
由于它易于阅读,我相信我们可以公开共享SKU(例如,在深层链接中)。
在这种情况下,我们是否会向黑客泄漏任何东西?还是应该对SKU进行哈希处理?
答案 0 :(得分:1)
由于它易于阅读,我相信我们可以公开共享SKU(例如,在深层链接中)。
是的,即使该产品只能由购买它的人或有权查看它的人访问,也可以在任何地方使用它们。
正如您所说,它是公开的,因此不是秘密,并且不具有任何授权功能。
在这种情况下,我们是否会向黑客泄漏任何东西?还是应该对SKU进行哈希处理?
一旦公开的信息本身不能允许黑客访问所购买的产品,就无需对SKU进行哈希处理。黑客将需要访问购买令牌以及其他凭据,才能以与购买产品相同的方式访问该产品。
在我走之前,请允许我快速提醒一下...
它看起来很明显,但必须将购买令牌视为秘密,因此必须始终保持安全,但这并非易事要完成的任务。
请记住,正如我在this blog post中所指出的那样,您可以使用逆向工程技术轻松提取应用程序源代码中包含的所有令牌:
哦,我是否已经提到过,对于移动应用程序,其二进制文件可能会使用诸如移动安全框架之类的工具进行反向工程,尽管您可能在运行时或为了保护移动应用程序中的秘密而采用了某些技术。隐藏它们以免对您的二进制文件进行反向工程?
正如我在那篇博客文章中指出的那样,更高级的用户也可以使用逆向工程技术在运行时通过Mobile Security Framework之类的工具提取令牌。在Google上搜索dynamic instrumentation tools可以找到更多工具。