为了遵循应用内购买的一些安全准则:http://developer.android.com/guide/market/billing/billing_best_practices.html
我试图在服务器上做签名验证,而不是在应用程序本身。理想情况下,我想使用php openssl库,它看起来像下面的代码应该工作:
<?php
// $data and $signature are assumed to contain the data and the signature
// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);
// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1) {
echo "good";
} elseif ($ok == 0) {
echo "bad";
} else {
echo "ugly, error checking signature";
}
// free the key from memory
openssl_free_key($pubkeyid);
?>
我将签名替换为应用程序购买包中的base64解码签名字符串,并使用来自同一包的数据。公钥需要是PEM格式,我添加了BEGIN和END令牌和一些换行符。
我的问题是,我不能得到这个PHP代码成功验证数据/签名,我不知道需要改变什么才能使它正常工作。
如果我使用openssl,创建一个私钥和公钥,使用sha1为相同的数据创建一个签名,并通过上面的php代码运行它,它工作良好,验证成功。
我是这样使用OpenSSL的:
openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem
则使用私有。Pem和一些PHP代码生成签名:
...
openssl_sign($data, $signature, $pkeyid);
...
是否有人有任何工作示例php代码与服务器端验证的应用程序签名?
我可以只是运行等效的java代码,是在样例应用程序,这似乎工作正常,但我想直接使用php,如果可能的话。
我已经编写了一个库来验证Android Market许可响应,它可以在Google Code上使用。
只需要几行PHP代码来验证许可证,密钥和OpenSSL的格式已经为您处理好了。
是否可以在PHP脚本中使用cURL,而不是内置在PHP流中的东西?我以前使用过它们,发现问题更少,错误消息更详细。