我遇到了一个棘手的问题。
我正在使用Appengine Endpoints实现我的服务器端API。这个API向我的用户返回一些数据。应用程序支持应用内产品购买。我的想法很简单:一旦用户购买某个产品,API将返回附加数据。直接的方法是将标志作为参数传递给API。但我想通过启用OAuth认证来使其更加安全。因此,一旦用户购买某物,它会在服务器上进行验证并记录。因此,我的API端点将始终知道要向特定用户返回什么数据。
然而,问题如下。我不想强制用户进行身份验证,除非他们想购买东西。但是,如果用户使用另一台设备,而没有通过我的应用程序登录他们的Google帐户,那么他们就无法获得所有已购买的产品数据,而只能获得免费数据。我可以通过play服务查询已购买的产品,但我仍需要在我的服务器上进行身份验证或传递标志以获取完整的数据。
这些事情通常是如何完成的?我能否默默地使用用户的第一个谷歌帐户(据我所知,保证是Play Store使用的)在我的服务器上进行身份验证,还是错了?
谢谢。
你提到的内容应该使用 OAuth 2.0。
你可以在服务器端使用第一个允许身份验证的Google帐户。OAuth 2.0是一个很好的工具,可以简化并为开发人员提供一种轻松的方式,允许用户访问你的应用程序,无论是游戏还是交易平台。OAuthHmacSigner对象将管理身份验证,因为它已初始化:
signer = new OAuthHmacSigner();
signer.clientSharedSecret = Constants.CONSUMER_SECRET;
接下来,Android activity 使用以下代码启动 OAuth 流程:
launchOauth.setOnClickListener(new View.OnClickListener() {
public void onClick(View v) {
startActivity(new Intent().setClass(v.getContext(),
PrepareRequestTokenActivity.class));
}
});
String state = new BigInteger(130, new SecureRandom()).toString(32);
request.session().attribute("state", state);
return new Scanner(new File("index.html"), "UTF-8")
.useDelimiter("\\A").next()
.replaceAll("[{]{2}\\s*CLIENT_ID\\s*[}]{2}", CLIENT_ID)
.replaceAll("[{]{2}\\s*STATE\\s*[}]{2}", state)
.replaceAll("[{]{2}\\s*APPLICATION_NAME\\s*[}]{2}",
APPLICATION_NAME);
AccountManager.getAuthToken()