google支付被刷问题及服务端订单验证解决方案

最新推荐文章于 2022-01-06 18:14:12 发布
最新推荐文章于 2022-01-06 18:14:12 发布
阅读量9.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liutong123987/article/details/79415897
版权
本文讲述了作者在Google Play应用内支付遇到的被模拟支付的问题,以及如何通过服务器端订单验证来解决这个问题。文章提到,尽管支付接口做了签名校验,攻击者仍能模拟成功支付。为确保安全,作者利用Google提供的查询订单接口进行后端验证,通过检查订单状态和developerPayload来防止重放攻击。
摘要由CSDN通过智能技术生成

最近在google play上线的应用内支付被人刷了,用户模拟发起了大量的支付请求,并且全部成功支付。搞得我最近茶饭不思。。今天总算是解决了,和大家分享一下。

我们客户端的支付实现步骤是:

1. app端调用google支付

2. 支付成功后,调用 自己服务器的发货接口,当然发货接口是做了签名校验的。

之所以在app端调用发货,是因为google貌似没有提供服务器端直接回调url的地方,所以才给了恶意用户模拟google返回的机会。

 

一开始我以为是我们自己的发货接口密钥被破解了,但是后来经过app上报,发现客户端是真实的走过了所有的google支付流程,即google的支付sdk真的返回了成功。

由于不清楚是因为google的密钥泄漏还是攻击者用别的方法实现,所以客户端这边已经没有办法确认是安全的了。

好在google是提供了查询订单的接口的: 

最低0.47元/天 解锁文章
liutong123987
关注
Google Pay支付遇到的问题
帅次的博客
08-26 2万+
Google Play支付失败、Google Play支付失败、Google Play支付失败! 1、Google Play 支付, 遇到“无法购买您要的商品”; 2、Google Play 支付,从服务器检索信息时出错。[DF-AA-20]; 3、支付失败、无法支付。 4、Google Play 支付,遇到我们这边除了点错误,请重试。
Google登录强制启用二次身份验证与FIDO解决方案
安当加密
11-05 3114
据外媒 mspoweruser 报道,谷歌宣布将从 2021年11月9日起将强制要求对 Google 账户进行两步验证登录,以保证安全性。谷歌表示,保护用户账户防止密码泄露造成损失的最佳方法是开启两步验证。用户在电脑上输入账号密码后,需要在手机上进行确认,单击后完成两步验证。该功能将于 11 月 9 日自动激活,如果用户需要,目前可以立即启用。启用两步验证目前有三种方法: 短信验证 FIDO实体硬件密钥,USB接口 手机上安装谷歌身份验证APP,输入随机密钥 什么是双因素验证或者两步验证 ..
苹果 IAP 支付服务端处理完整流程及注意事项(包含订阅商品处理)
dying 搁浅
11-15 2792
这里详细说下后端验证流程 用户第一次购买订阅,server需要把票据存储(过期时间也记录一下,字段record_expires_date),苹果会通知server,其中notification_type 对应值为 INITIAL_BUY。之后续订开始需要做好**两件事**:
亚信java笔试题-GoogleCheck:一个项目告诉你如何查看google订单
06-03
亚信java笔试题 接入Google Pay之后,如何验证订单。 前言 长话短说,接入Google Pay之后,付款成功了,还得验证订单验证订单这一步,最好放在服务器,有些黑科技可以直接在手机上虚拟一个Google Pay,如果服务器不做验证,很有可能就被单了。 在网上借鉴了很多文章,真正有用的似乎很少。官方文档很不友好,可能是国外人思维逻辑不同,导致文档很难看懂,甚至文档找了好久都找不到,不是我菜,后端大佬也是找了好久,都快放弃了o(╥﹏╥)o。借鉴看到的一句话:当前文档不足以支撑开发者接入Google Pay。 步骤 一、进入Google Play Console,新建Auth客户端。不要去Google Developers Console中创建,点“创建AUTH客户端”就行。 二、点击“在Google Developers Console中查看”,下载对应的json格式的配置文件。 三、使用我提供的Java项目进行半自动化操作。 1.必须在本项目中创建配置文件: src/main/local.properties,文件内容如下(package_name和json_file_v
google支付接口被以及解决方案
cuihao1234的专栏
06-18 1310
版权属于:Vimer的程序世界 原文地址:http://www.vimer.cn?p=2631
google支付接口被以及解决方案 google支付查单
weixin_34343308的博客
04-10 1385
2019独角兽企业重金招聘Python工程师标准>>> ...
GooglePlay内购服务器验单
wuyutaoktm的博客
01-06 2071
GooglePlay内购后由服务器验单
HTTP跨域问题解决方案
Star_CSU的博客
05-30 6511
本文着重讲怎么处理和分析遇到的跨域问题,对于浏览器同源策略和跨域资源共享只做简要描述。有一定同源策略和跨域知识的程序员可以直接看第三章跨域问题处理方法. 目录: 一、跨域问题的来源 二、跨域请求 三、请求跨域处理方法 一、跨域问题的来源 跨域问题我们只会在浏览器中看到,在服务器、PC客户端、IOS/安卓APP端我们是碰不到跨域问题的. 跨域问题的源头在于浏览器的同源策略,所谓同源策略...
google-play-billing-validator:Node.js的Npm模块可在后端验证应用内购买和订阅
05-09
Node.js Google Play验证程序(应用内购买和订阅) 或如何检查应用内购买/订阅是否有效? 教程 关于媒体的深入教程: 安装 使用npm安装 npm i google - play - billing - validator 用法(设置) 转到 设置(在左侧菜单中) 选择API访问 将您的Google Cloud Project链接到您的开发者帐户(如果尚未创建一个帐户,请转到并创建一个帐户,然后回到此处进行链接) 在Google API控制台的左侧菜单中,单击服务帐户 然后创建一个服务帐户(不要忘记保存私钥) 返回开发者控制台,并授予对新创建帐户的访问权限(该权限必须是查看财务数据) 全部做完 用法 获取验证器 var Verifier = require ( 'google-play-billing-validator' ) ; 添加您的私钥和服务帐户电子
内购服务器二次校验API(试行版)1
08-08
内购服务器二次校验API作用:防止用户恶意单行为,我们通过服务端接口,调取AppStore和Google Play 官方API进行订单二次校验Android
Android Google play billing(Google play 内支付) 代码封装V1.0.3
10-27
个人精品资源来的,公司也在用,已经是比较稳定的了。 里面已经带有对应版本的API和Util工具类,所以下载直接就能使用。 这里使用的是v3版本的API,如果想要使用最新版本的 API请自行按照新的API函数稍微修改一下代码参数就行了。 使用该封装,只需要简单的4步就能调起支付,参数等配置、new 一下,回调,注销。 里面的接口功能齐全,具备完整的成功、失败、错误回调。如果需要详细教程,可以看我博客。http://blog.csdn.net/u013640004/article/details/78257536 1.0.3更新日志:增加对订阅功能的支持。
Google内购 Java服务端(Springboot)校验订单详细流程
weder的博客
07-06 3026
因为产品需要接入Google支付,这里记录一下进行Java服务端校验的过程。 一、 Google Pay主要支付流程 1.手机端向Java服务端发起支付,生成预订单,给手机端返回生成的订单号 2.手机端向Google发起支付(传入本地服务器生成的订单号) 3.Google服务器将支付结果返回给手机端 4.手机端向Java服务端发送校验请求,校验通过后即可处理订单 二、前提条件 1.一台海外服务器(国内服务器请求Google服务器进行校验会出现请求超时的问题) 2.接入Google服务的手机客户端 3.浏览器
谷歌支付服务端服务账号订单校验
weixin_43700984的博客
10-29 3713
谷歌支付服务端服务账号订单校验整个开发背景是前端在调用完google play v3 支付流程后,需要后台验证支付结果以及在自己的服务生成订单相关信息。对于服务账号的文档搜了度娘对于这块的资料少,无从下手,踩了不少坑。网上的搜出来的大多数是针对OAuth 2.0 客户端 ID的验证,需要使用到refreshAccess,但是服务账号不一样,那不需要验签通过后直接能请求查询订单。用到的 maven 依赖jar包登录校验订单创建订单成功校验 整个开发背景是前端在调用完google play v3 支付流程后,需
为你的应用集成谷歌结算(客户端集成+服务端校验)
你好,开发者
12-21 1376
最近在开发自己的一款新产品 言叶,上架到谷歌商店之后有国外用户反馈想要使用谷歌支付,于是我准备为自己的应用集成谷歌结算以允许用户进行内购付款。 之前我完全没用集成过谷歌支付,从寻找到的一些资料来看,谷歌结算的开发方式已经做了调整,新的开发方式比之前使用 AIDL 开发要简单一些。 1、客户端集成 1.1 文档资料 对于客户端集成,官方文档已经给了比较详尽的说明,这里对应的文档资料提供一下: 库集成文档《将 Google Play 结算库集成到您的应用中》,链接:https://developer.andr
google支付回调验证
zdgdq的专栏
11-22 5097
原文链接: https://my.oschina.net/lemonzone2010/blog/398736 Google支付问题 20150218,挂机的日本服务器出现google支付单现象,虽然目前进行的修补,但是这个问题并没有完全从根源上解决。并且公司以前的GooglePlay支付也有不完善的地方,在SDK端给支付回调发送支付信息后,支付回调程序没有调用Google...
服务端验证google支付通知(一文搞定)
大魔王技术之家
09-03 3787
准备工作 1.创建服务帐号 打开 Service accounts page 如果出现提示,请选择一个项目,或创建一个新项目 选中项目后例如(Google Play Android Developer ) 创建服务帐户 在“ 服务帐户详细信息”下 ,键入服务帐户的名称,ID和描述,然后单击“ 创建” 可选:在“ 服务帐户权限”下 ,选择要授予服务帐户的IAM角色,然后单击继续 可选:在“ 授予用户对此服务帐户的访问权限”下 ,添加允许使用和管理该服务帐户的用户或组。 单击管理密钥,创建密钥 ,然后单击创建
Google Android应用内支付订单服务端验证
热门推荐
灵犀物润
10-15 1万+
       最近公司的APP新增了收费版本,针对一些高级功能需要用户付费才能使用,付费的方式是用户通过应用内支付去订阅一个月或一年的账户高级权限,相当于QQ里面的VIP功能。        大概的流程是用户下载APP后注册之后默认为普通用户,用户通过应用内支付去订阅高级账户权限包之后,客户端应用把订单的收据数据提交到服务器,服务器保存用户的支付订单收据数据,并且去验证收据的合法性,确保不是伪造...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值