【Google 应用内付】说明

文章来自：http://developer.android.com/intl/zh-cn/google/play/billing/index.html

（话说天朝的墙越来越高了，现在想帆樯什么的，一下子还帆不了。）好了，废话不多说了。今天老大说要上GooglePlay 了。只好赶紧把相关的文档看一遍。

（下面的内容全部来自官网，红色标注是本人的一些理解，如果有不对的地方，请指出。）

Google Play 应用内结算

应用内结算是一项 Google Play 服务，可让你在自己的应用内销售数字内容。你可以使用该服务销售很多内容，包括媒体文件或照片等可下载的内容、游戏关卡或药水等虚拟内容、高级服务及功能，等等。你可以使用应用内结算销售下面这两类商品：

• 标准应用内商品（一次性结算）；或
• 订阅（定期自动结算）

如果你使用应用内结算服务来销售商品，那么无论你销售的是应用内商品还是订阅，Google Play 都会负责处理所有结帐详情，因此你的应用从不需要直接处理任何财务交易。Google Play 使用的结帐后端服务与用于应用购买的服务相同，因此你的用户将获得一致且熟悉的购买流程使用体验。

你通过 Google Play 发布的所有应用都可以实施应用内结算。只要你有 Google Play 开发者控制台帐户和 Google 电子钱包商家帐户（无需创建任何特殊帐户或进行任何注册），即可实施该服务。

应用内结算的新变化

【注意】

IAB 第 2 版关闭 - 应用内结算 API 第 2 版已弃用，将于 2015 年 1 月关闭。如果你的应用仍在使用应用内结算第 2 版，请尽快迁移到 API 第 3 版。

应用内结算概述

应用内结算 API

您的应用会通过相应 API （由设备上安装的 Google Play 应用提供）来访问应用内结算服务。然后，Google Play 应用会在您的应用和 Google Play 服务器之间传送结算请求和响应。实际上，您的应用从不直接与 Google Play 服务器通信，而是通过进程间通信 (IPC) 向 Google Play 应用发送结算请求并接收 Google Play 应用发来的响应。此外，您的应用也不管理其与 Google Play 服务器之间的任何网络连接。

[这里已经很清楚地提到了：Google Play的应用内购是不需要我们的应用直接与Google Play发生交互的。]

第 3 版的功能

• 通过简化的 API 发送请求。此 API 可让您轻松地向 Google Play 请求商品详情、订购应用内商品以及根据用户对商品的所有权快速恢复商品
• 订单信息会在购买完成时同步传送到设备上
• 所有购买都是“托管的”（也就是说，Google Play 负责记录用户对应用内商品的所有权）。对于同一件应用内商品，用户无论何时都只能拥有该商品的一个副本而不能拥有多个副本
• 您可以消耗所购商品。当消耗后，该商品将切换回“未被拥有”状态，且可被用户从 Google Play 中再次购买[这里需要注意的是：如果是金币、道具，你使用Google Play购买成功后，要立即发送消耗状态，以便用户能继续购买]。

Google Play 开发者控制台

---

在开发者控制台上，您不仅能发布应用内结算应用，还能管理您应用中出售的各种应用内商品。

对于与您的应用相关联的数字商品（包括一次性商品和定期订阅），您可以为其创建商品列表。对于每件商品，您都可以定义下列信息：唯一商品 ID（也称为 SKU）、商品类型、定价、说明以及 Google Play 应如何处理和用户对该商品的购买。[注意：输入的商品ID要小心，保存后就不能更改了；这点与Apple Store的一样。]

您还可以创建测试帐户，授权这些帐户测试尚未发布的应用。

示例应用

---

为了帮您将应用内结算集成到您的应用中，Android SDK 提供了一个示例应用，向您演示如何在应用内销售应用内商品和订阅。

API 第 3 版的 TrivialDrive 示例演示了如何使用应用内结算 API 第 3 版在赛车游戏中实施应用内商品和订阅购买。该应用不仅演示了如何发送应用内结算请求以及处理来自 Google Play 的同步响应，还演示了如何通过此 API 记录商品的消耗情况。第 3 版示例包括多种工具类，非常便于处理应用内结算操作和执行自动签名验证。

建议：请务必在发布应用前混淆其中的代码。有关详情，请参阅安全性和设计。[注意：因为是没有与Google Play服务器有直接的交互，所以安全就显得特别重要了]

安全性方面的最佳做法

---

在服务器上执行签名验证任务

如果可能的话，你应该在远程服务器上（而不是设备上）执行签名验证。在服务器上实施验证过程，可有效防止攻击者通过对 .apk 文件进行反向工程来破坏验证过程。如果你将安全性流程放置到远程服务器上，请确保设备服务器的握手过程是安全的。

保护你的未锁定内容

为防止恶意用户重新分发你未锁定的内容，请不要将这种内容放入你的 .apk 文件中，而是执行以下操作之一：

• 使用实时服务发送内容，例如内容 Feed。通过实时服务发送内容可保持内容始终是最新的。
• 使用远程服务器发送内容。

当你通过远程服务器或实时服务发送内容时，你可以将未锁定内容存储在设备内存中或设备的 SD 卡上。如果你将内容存储在 SD 卡上，请务必将内容加密并使用设备专有的密钥。

混淆你的代码

你应混淆应用内结算代码，让攻击者难以对你的安全协议和其他应用组件进行反向工程。我们建议你至少对代码运行 Proguard 等代码混淆工具。

除了运行代码混淆程序以外，我们还建议你使用以下技术混淆你的应用内结算代码。

• 将方法内嵌入其他方法中。
• 创建动态字符串，而不是将其定义为常量。
• 使用 Java 反射来调用方法。

使用这些技术有助于缩小你应用的受攻击范围，并最大程度帮助你抵御会对应用内结算实施造成损害的攻击。

注意：如果你使用 Proguard 来对代码进行混淆处理，则必须将以下内容行添加到 Proguard 配置文件中：

-keep class com.android.vending.billing.**

修改所有示例应用代码

应用内结算示例是可供任何人下载的公开发布应用。这意味着如果你直接使用发布的示例代码，则对攻击者而言比较容易对你的应用进行反向工程。请紧记示例应用只能作为示例使用。如果你使用示例应用中的任何一部分，则必须在发布之前或将其作为生产应用的一部分前对其进行修改。

尤其要注意的是，攻击者会寻找应用内已知的进入点和离开点，因此请务必修改与示例应用完全相同的代码部分。

使用安全随机数

随机数必须是不可预测的，也不能重复使用。在生成随机数时，请务必使用采用加密保护的随机数字生成器（例如SecureRandom），这样可以减少重放攻击。

此外，如果你在服务器上执行随机数验证，请务必在服务器上生成随机数。

在提交购买请求时设置开发者有效内容字符串

使用应用内结算 API 第 3 版，你可以在向 Google Play 发送购买请求时包括一个“开发者有效内容”字符串令牌。通常情况下，这样做是为了提交可唯一标识此购买请求的字符串令牌。如果你指定字符串值，那么 Google Play 会返回购买响应以及该字符串。随后，在你针对此购买进行查询时，Google Play 会返回此字符串以及购买详情。

提交字符串令牌可以帮助应用识别进行了购买的用户，以便你稍后验证该用户进行的购买是否合法。对于消耗型商品，你可以使用随机生成的字符串；但是对于非消耗型商品，则应该使用可唯一标识用户的字符串。

当你获得 Google Play 的响应时，请确保开发者有效内容字符串匹配你之前与购买请求一起发送的令牌。作为进一步的安全预防措施，你应该在自己的安全服务器上执行验证。

针对商标和版权侵权采取行动

如果你看到自己的内容在 Google Play 上被重新分发，请立即、果断地采取行动。发出商标侵权通知或版权侵权通知。

针对未锁定内容实施可撤消方案

如果你使用远程服务器发送或管理内容，请确保当用户访问内容时，应用能够验证未锁定内容的购买状态。这样你可以根据需要撤消使用，并最大限度地减少盗版。

保护你的 Google Play 公钥

为保护你的公钥安全并防止被恶意用户和黑客攻击，请不要将其作为文字字符串嵌入任何代码中。而是在运行时以拼凑方式构建字符串或者使用位操作处理（例如，XOR 搭配其他字符串）以隐藏真实密钥。公钥本身不是秘密信息，但是你一定不希望黑客或恶意用户能轻易将公钥替换为其他钥匙。