Comment vérifier en toute sécurité l'abonnement d'un utilisateur à une application Android?

Question

Je connais très peu de choses sur la sécurité ou les serveurs, mais je crée une application Android qui permet aux utilisateurs d'acheter un abonnement intégré. As recommended, je souhaite utiliser l'API Google Play Developer et stocker les données nécessaires sur mon propre serveur. Cependant, je ne peux pas penser à une façon de le faire sans avoir une ligne dans mon code comme

if(userIsSubscribed){ 
    //give access to purchased data 
} 

Un pirate pourrait évidemment aller et juste flip à if(true). Que devrais-je faire à la place?

Answer 1

Obscurcissez votre code d'application au minimum. Effectuez également la vérification de l'abonnement sur le serveur avant d'envoyer le contenu. C'est l'une des raisons pour lesquelles ils ont une API Web. Fondamentalement, tout ce à quoi l'utilisateur (et le pirate potentiel) a accès (c'est-à-dire, votre application) ne peut pas être approuvé. Les éléments auxquels ils n'ont pas directement accès (c'est-à-dire votre serveur de contenu) peuvent être un peu plus fiables et c'est une bonne idée de déplacer toutes les opérations et/ou données sensibles là-bas, si possible.