【发布时间】:2013-11-30 19:29:52
【问题描述】:
我编写了一个开源应用程序,我在其中通过 In App Billing 添加了捐款。 Google 说要“隐藏”公钥 (see here)。
由于应用程序本身是开源的,因此每个人都可以编译它并更改密钥。目前我创建了一个带有返回密钥的静态类的新项目。我用这个类来获取密钥,所以我的 git repo 中没有普通的公钥。但这真的有必要吗?
如果有人拥有我的公钥,可能发生的最糟糕的事情是什么?
谢谢, 芦笋
【问题讨论】:
-
很确定可能发生的最糟糕的事情是有人可以用自己的密钥替换密钥,以欺骗您的应用程序相信已完成购买。但既然你的应用是开源的,我不明白为什么有人会去麻烦。
-
感谢您的评论。由于捐赠不会启用任何附加功能,我不在乎是否有人让应用程序认为捐赠是在没有支付任何费用的情况下进行的。
标签: java android in-app-billing android-billing