我只是想通了。
基本上,它的工作方式是,当购买成功时,Android市场会返回一条消息(以JSON格式),其中包含订单详细信息和加密签名。在Security.java类中,验证功能通过使用公共密钥验证签名来确保消息确实确实来自Android市场应用程序。
如果要在混合中使用自己的服务器,只需要将签名和json有效负载传递到服务器,并验证服务器上的json有效负载。如果可以验证json数据来自市场应用程序,则可以使用它来创建服务器端订单对象。然后,您可以响应客户应用程序订单已处理并更新您的UI。
我在应用程序中所做的只是在Security类的verify函数中添加服务器通信内容,以代替现有的verify函数。
真正的窍门是用ruby编写签名验证代码。这是有效的方法:
base64_enpred_public_key是用户配置文件中的密钥sig是传递到Dungeons安全示例中的签名属性,数据是市场发送回的json字符串。
require 'rubygems'require 'openssl'require 'base64'base64_enpred_public_key = "YOUR KEY HERE"data = "JSON_DATA_HERE"sig = "SIGNATURE HERE"key = OpenSSL::PKey::RSA.new(base64.depre64(base64_enpred_public_key))verified = key.verify( OpenSSL::Digest::SHA1.new, base64.depre64(sig), data )
