アプリ内購入のプロモーションコードがリモートサーバーの確認を破りますか？

Question

アプリ内購入のプロモーションコードを公開すると、アプリがリモートサーバー購入の確認を（これからも）実行できなくなるようです。

promo codeは、アプリ内購入（PURCHASES_UPDATEDブロードキャスト）のために使用される場合、アプリケーションは、リモート検証に使用"developerPayload"を供給するためのチャンスを持っていないので、それは完全に購入フローをバイパスします。また、Google Play Developer APIを使用してリモート検証のために有用

後半とき取得/所有者の製品を確認するために、アプリコールgetPurchases()、プロモーションの購入のためのpurchase dataはもちろんの"developerPayload"は含まれませんが、どちらも"orderId"。

アプリは、アプリ内でのプロモーションコードの確認をどのように行う必要がありますか？

ユーザーがGoogle Playストアのアプリ/サイトを通じてプロモーションコードを使用して購入フローをバイパスできるようにすることは、可能ではない可能性がある、大きな見落としのようです。

発行レポート：

• https://code.google.com/p/android/issues/detail?id=200722（閉じWrongForum）
• https://github.com/googlesamples/android-play-billing/issues/7

同様の記事：

• In-app purchases made via promo codes return empty developer payload string

Answer 1

これは確かにGoogle側から知られているセキュリティ上の問題ですので、回避策を提案します。

プロモーションコードに加えて、プロモーション購入を取得してサーバーIDを確認して購入を1回だけ承諾すると、サーバーによって生成されたサーバーIDをユーザーに提供します。

マーケットから使用する場合は、リファラーでIDを送信してください。アプリから使用する場合は、サーバーIDを提供する独自のロジックがあります。

ボトムライン他の解決策はありませんが、何らかのIDでユーザーを特定する方法があります。