Android应用内购买服务器签名验证使用php OpenSSL

Posted

技术标签:

【中文标题】Android应用内购买服务器签名验证使用php OpenSSL【英文标题】:Android in-app purchase server signature verification using php OpenSSL 【发布时间】:2011-08-04 11:07:20 【问题描述】:

为了尝试在此处遵循一些应用内购买的安全准则: http://developer.android.com/guide/market/billing/billing_best_practices.html

我正在尝试在服务器上而不是在应用程序本身上进行签名验证。理想情况下,我想使用 php openssl 库,看起来像下面这样的代码应该可以工作:

<?php
// $data and $signature are assumed to contain the data and the signature

// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);

// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1) 
    echo "good";
 elseif ($ok == 0) 
    echo "bad";
 else 
    echo "ugly, error checking signature";

// free the key from memory
openssl_free_key($pubkeyid);
?>

我将签名替换为应用购买包中的 base64 解码签名字符串,并使用同一包中的数据。公钥需要采用 PEM 格式,我添加了 BEGIN 和 END 标记以及一些换行符。

我的问题是我无法让此 PHP 代码成功验证数据/签名,而且我不知道需要更改什么才能使其正常工作。

如果我使用openssl,创建一个私钥和公钥,使用sha1为相同的数据创建一个签名并通过上面的php代码运行它,它工作正常并成功验证。

这是我使用 OpenSSL 的方式:

openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem

然后我使用 private.pem 和一些 php 代码来生成签名:

...
openssl_sign($data, $signature, $pkeyid);
...

有没有人有任何工作的示例 php 代码与应用程序内签名的服务器端验证?

我可以只运行示例应用程序中的等效 java 代码,这似乎可以正常工作,但如果可能的话,我想直接使用 php。

【问题讨论】:

从 Android Market Publish 站点获取公钥并添加 BEGIN/END 和换行符是否不足以使其成为有效的 PEM 格式公钥? 弄清楚了,这段代码是正确的,唯一错误的是我从文件中读取的数据附加了一个换行符,即使我已经删除了所有额外的字符。修复上述代码的最简单方法是添加$data=trim($data);。在此之后,一切都按预期进行。 您是如何获得 PEM 格式的 Base64 编码 RSA 密钥的? 这是我使用的 openssl 命令:openssl enc -base64 -d -in publickey.raw -A | openssl rsa -inform DER -pubin &gt; out。 publickey.raw 是直接从 Android Market 粘贴的密钥。 注意正确使用$signature:crazyviraj.blogspot.com/2011/06/… 【参考方案1】:

我编写了一个用于验证 Android Market 许可响应的库,可在 Google Code 上找到它。

只需要few lines 的 PHP 来验证许可证,并为您处理密钥和 OpenSSL 内容的格式。

【讨论】:

它使您的库不再适用于 v3 google play api?可以更新吗? 我一直在计划更新库,并支持应用内购买。 你有什么计划什么时候准备好?我最感兴趣的是 PHP 部分。 @DavidCaunt 您是否更新了您的优秀库以使用 v3?【参考方案2】:

是否可以在 PHP 脚本中使用 cURL,而不是 PHP 流中内置的东西。我以前用过,发现问题比较少见,而且错误信息比较冗长。

【讨论】:

以上是关于Android应用内购买服务器签名验证使用php OpenSSL的主要内容,如果未能解决你的问题,请参考以下文章

如何验证应用内购买的 Android 服务器端 Java?

我们如何在服务器端验证 Android 应用内计费收据?

无法在服务器上验证 android 应用内订阅

无法使用测试帐户进行 Android 应用内购买“发布者无法购买此项目”

Google Play 购买中签名验证失败

“找不到您尝试购买的商品” Android 应用内计费