如何解决使用php OpenSSL的Android应用内购买服务器签名验证
| 为了遵循此处针对应用内购买的一些安全准则,请执行以下操作: http://developer.android.com/guide/market/billing/billing_best_practices.html 我正在尝试在服务器上而不是在应用程序本身中进行签名验证。理想情况下,我想使用php openssl库,它看起来像下面的代码一样有效:<?php
// $data and $signature are assumed to contain the data and the signature
// fetch public key from certificate and ready it
$fp = fopen(\"/src/openssl-0.9.6/demos/sign/cert.pem\",\"r\");
$cert = fread($fp,8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);
// state whether signature is okay or not
$ok = openssl_verify($data,$signature,$pubkeyid);
if ($ok == 1) {
echo \"good\";
} elseif ($ok == 0) {
echo \"bad\";
} else {
echo \"ugly,error checking signature\";
}
// free the key from memory
openssl_free_key($pubkeyid);
?>
我将应用购买包中的base64解码签名字符串替换为签名,并使用同一包中的数据。公钥必须采用PEM格式,我添加了BEGIN和END令牌以及一些换行符。
我的问题是我无法获取此PHP代码来成功验证数据/签名,并且我不知道需要进行哪些更改才能使其正常工作。
如果我使用openssl,创建私钥和公钥,使用sha1为相同数据创建签名并通过上面的php代码运行它,那么它可以正常工作并成功验证。
这是我使用OpenSSL的方法:
openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem
然后我使用private.pem和一些php代码生成签名:
...
openssl_sign($data,$pkeyid);
...
有人在应用程序内签名的服务器端验证中有任何有效的示例php代码吗?
我可以只运行示例应用程序中的等效Java代码,这似乎可以正常工作,但如果可能的话,我想直接使用php。
解决方法
我已经编写了一个库来验证Android Market的许可响应,该库可以在Google Code中找到。
只需花费几行PHP即可验证许可证,并且密钥和OpenSSL内容的格式将由您处理。
,是否可以在PHP脚本中使用cURL,而不是PHP流中内置的内容。我以前使用过它们,发现问题更加罕见,错误消息也更加冗长。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。