Android应用内购买服务器签名验证使用php OpenSSL
Posted
技术标签:
【中文标题】Android应用内购买服务器签名验证使用php OpenSSL【英文标题】:Android in-app purchase server signature verification using php OpenSSL 【发布时间】:2011-08-04 11:07:20 【问题描述】:为了尝试在此处遵循一些应用内购买的安全准则: http://developer.android.com/guide/market/billing/billing_best_practices.html
我正在尝试在服务器上而不是在应用程序本身上进行签名验证。理想情况下,我想使用 php openssl 库,看起来像下面这样的代码应该可以工作:
<?php
// $data and $signature are assumed to contain the data and the signature
// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);
// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1)
echo "good";
elseif ($ok == 0)
echo "bad";
else
echo "ugly, error checking signature";
// free the key from memory
openssl_free_key($pubkeyid);
?>
我将签名替换为应用购买包中的 base64 解码签名字符串,并使用同一包中的数据。公钥需要采用 PEM 格式,我添加了 BEGIN 和 END 标记以及一些换行符。
我的问题是我无法让此 PHP 代码成功验证数据/签名,而且我不知道需要更改什么才能使其正常工作。
如果我使用openssl,创建一个私钥和公钥,使用sha1为相同的数据创建一个签名并通过上面的php代码运行它,它工作正常并成功验证。
这是我使用 OpenSSL 的方式:
openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem
然后我使用 private.pem 和一些 php 代码来生成签名:
...
openssl_sign($data, $signature, $pkeyid);
...
有没有人有任何工作的示例 php 代码与应用程序内签名的服务器端验证?
我可以只运行示例应用程序中的等效 java 代码,这似乎可以正常工作,但如果可能的话,我想直接使用 php。
【问题讨论】:
从 Android Market Publish 站点获取公钥并添加 BEGIN/END 和换行符是否不足以使其成为有效的 PEM 格式公钥? 弄清楚了,这段代码是正确的,唯一错误的是我从文件中读取的数据附加了一个换行符,即使我已经删除了所有额外的字符。修复上述代码的最简单方法是添加$data=trim($data);
。在此之后,一切都按预期进行。
您是如何获得 PEM 格式的 Base64 编码 RSA 密钥的?
这是我使用的 openssl 命令:openssl enc -base64 -d -in publickey.raw -A | openssl rsa -inform DER -pubin > out
。 publickey.raw 是直接从 Android Market 粘贴的密钥。
注意正确使用$signature:crazyviraj.blogspot.com/2011/06/…
【参考方案1】:
我编写了一个用于验证 Android Market 许可响应的库,可在 Google Code 上找到它。
只需要few lines 的 PHP 来验证许可证,并为您处理密钥和 OpenSSL 内容的格式。
【讨论】:
它使您的库不再适用于 v3 google play api?可以更新吗? 我一直在计划更新库,并支持应用内购买。 你有什么计划什么时候准备好?我最感兴趣的是 PHP 部分。 @DavidCaunt 您是否更新了您的优秀库以使用 v3?【参考方案2】:是否可以在 PHP 脚本中使用 cURL,而不是 PHP 流中内置的东西。我以前用过,发现问题比较少见,而且错误信息比较冗长。
【讨论】:
以上是关于Android应用内购买服务器签名验证使用php OpenSSL的主要内容,如果未能解决你的问题,请参考以下文章