通过服务器请求防止Android盗版 [英] Android piracy prevention with server requests

问题描述

我正在开发一个需要服务器来完成大部分繁重工作的应用程序.我想防止盗版客户端将请求发送到该服务器.有没有一种方法可以随请求发送一些标识符，以便我的服务器可以询问Android电子市场是否有人真正购买了该应用程序?我将如何去做?

I'm working on an application that requires a server to do most of the heavy lifting. I want to prevent pirated clients from sending requests to that server. Is there a way to send some identifier with the requests so that my server can ask the Android Market if someone with that id actually bought the app? How would I go about doing that?

请注意，仅使用LVL保护应用程序是行不通的，因为人们可以很容易地编写与服务器接口的应用程序，并且仍然提供与付费应用程序相同的功能.

Note that just protecting the app with LVL won't work, because people could fairly easily write an application to interface with the server and still provide the same functionality as the paid app.

推荐答案

首先:对于在不受您控制的设备(例如您的Android设备)上运行的任何内容，没有100％的安全性.

您可以通过以下几种措施使滥用"更加困难:

You could make "abuse" harder by several measures:

• 在成功登录后设置时间限制后，发出随机会话密钥(密码安全)，因此需要经过一定时间后才能进行新的登录
• 为每个通信步骤随机分配一个交互密钥(密码安全)，该交互密钥在一次使用后立即失效
• 成功登录后，终止与该登录之前可能处于活动状态的相同凭据关联的任何其他会话
• 节流"的使用，即限制每分钟/小时或类似时间允许多少个呼叫(根据特定的应用，可能是不可能的)

如果您真的很想加倍努力，可以发出特定于设备的客户端证书(当客户端购买您的应用程序时)，并使用基于证书的客户端身份验证(在SSL标准中定义)-您可以使证书无效如果您发现滥用该设备不会对其他设备的合法用户造成伤害，则与该设备相关联...

IF you really really want to make it very hard you can issue a device-specific client-certificate (when the client buys your app) and use cert-based client authentication (defined in SSL standard) - you can invalidate the cert associated with the device if you see abuse without harm for the legitimate users of other devices...

这篇关于通过服务器请求防止Android盗版的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！