为了尝试在此处遵循一些应用内购买的安全准则: http://developer.android.com/guide/market/billing/billing_best_practices.html
我正在尝试在服务器上而不是在应用程序本身上进行签名验证。理想情况下,我想使用 php openssl 库,看起来像下面这样的代码应该可以工作:
<?php
// $data and $signature are assumed to contain the data and the signature
// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);
// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1) {
echo "good";
} elseif ($ok == 0) {
echo "bad";
} else {
echo "ugly, error checking signature";
}
// free the key from memory
openssl_free_key($pubkeyid);
?>
我将签名替换为应用购买包中的 base64 解码签名字符串,并使用来自同一包的数据。公钥需要采用 PEM 格式,我添加了 BEGIN 和 END 标记以及一些换行符。
我的问题是我无法让此 PHP 代码成功验证数据/签名,而且我不知道需要更改什么才能使其正常工作。
如果我使用openssl,创建一个私钥和公钥,使用sha1为相同的数据创建一个签名并通过上面的php代码运行它,它工作正常并成功验证。
这是我使用 OpenSSL 的方式:
openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem
然后我使用 private.pem 和一些 php 代码来生成签名:
...
openssl_sign($data, $signature, $pkeyid);
...
有没有人有任何工作的示例 php 代码与应用程序内签名的服务器端验证?
我可以只运行示例应用程序中的等效 java 代码,这似乎可以正常工作,但如果可能的话,我想直接使用 php。
最佳答案
我编写了一个用于验证 Android Market 许可响应的库,可在 Google Code 上找到它.
只需要一个 few lines PHP 验证许可证,并为您处理 key 和 OpenSSL 内容的格式。
关于php - Android应用内购买服务器签名验证使用php OpenSSL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5645418/