android应用内计费安全问题

Question

我计划在用户付费后使用应用内结算来启用某些功能。 我想执行以下步骤：

1. 按照谷歌示例添加应用内购买。
2. 用户付费后，在私有 SharedPreferences 中添加一个布尔标志。
3. 以后不要重新检查用户是否付款。

我想详细了解应用内结算的安全性。我的问题是：

1. 这是一个简单的破解（只需下载一个程序并执行，完成）Android许可库，应用内计费是否存在类似问题？
2. 私有 sharedPreferences 是否足够安全？散列布尔变量似乎没用？
3. 破解apk文件容易吗，比如直接反编译apk，找到布尔逻辑为1>0，即永远为真，然后重新编译apk？

我发现有 AndroidBillingLibrary 可以轻松实现，但它已经过时了。有什么好的选择吗？

Answer 1

不要按原样使用广泛可用的示例代码（它通常也有问题），为您的应用重新编写、增强和定制。

像往常一样，在有根设备上，用户可以编辑任何文件。因此，他们可以通过更改（或从其他设备复制）应用程序的偏好来启用您的高级功能。您可以通过使用特定于设备的密钥（源自 ANDROID_ID、IMEI、MAC 地址或它们的组合）来混淆首选项，从而使这一过程变得更加困难。

反编译始终是可能的，您可以混淆您的许可证检查逻辑，让想要成为破解者的人更加困难。一个专注的人会在一段时间后找到解决方法，你只能让他们慢下来。