为了遵循应用内购买的一些安全指南,我正在尝试遵循以下链接中的建议:http://developer.android.com/guide/market/billing/billing_best_practices.html
我正在尝试在服务器上进行签名验证,而不是在应用程序中进行。我希望使用php openssl库,看起来以下代码应该可以工作:
<?php
// $data and $signature are assumed to contain the data and the signature
// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);
// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1) {
echo "good";
} elseif ($ok == 0) {
echo "bad";
} else {
echo "ugly, error checking signature";
}
// free the key from memory
openssl_free_key($pubkeyid);
?>
我在应用购买包中使用base64解码后的签名字符串替换签名,并使用同一包中的数据。公钥需要采用PEM格式,我添加了BEGIN和END标记以及一些换行符。
我的问题是,我无法使这段PHP代码成功验证数据/签名,并且我不知道需要什么更改才能使其正常工作。
如果我使用openssl创建私钥和公钥,为相同数据创建sha1签名并将其通过上述php代码运行,则可以正常工作并成功验证。
以下是我如何使用OpenSSL:
openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem
然后我使用private.pem和一些php代码生成签名:
...
openssl_sign($data, $signature, $pkeyid);
...
有人有带有服务器端应用内签名验证的工作示例php代码吗?
如果可能的话,我想直接使用php,虽然我可以运行示例应用程序中的等效java代码,但似乎也可以正常工作。
$data=trim($data);。这样之后,一切都按预期工作。 - Nathan Toturaopenssl enc -base64 -d -in publickey.raw -A | openssl rsa -inform DER -pubin > out。publickey.raw是直接从Android Market粘贴的密钥。 - Nathan Totura