使用php OpenSSL的Android应用内购买服务器签名验证

问题描述

| 为了遵循此处针对应用内购买的一些安全准则,请执行以下操作: http://developer.android.com/guide/market/billing/billing_best_practices.html 我正在尝试在服务器上而不是在应用程序本身中进行签名验证。理想情况下,我想使用php openssl库,它看起来像下面的代码一样有效:
<?php
// $data and $signature are assumed to contain the data and the signature

// fetch public key from certificate and ready it
$fp = fopen(\"/src/openssl-0.9.6/demos/sign/cert.pem\",\"r\");
$cert = fread($fp,8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);

// state whether signature is okay or not
$ok = openssl_verify($data,$signature,$pubkeyid);
if ($ok == 1) {
    echo \"good\";
} elseif ($ok == 0) {
    echo \"bad\";
} else {
    echo \"ugly,error checking signature\";
}
// free the key from memory
openssl_free_key($pubkeyid);
?>
我将应用购买包中的base64解码签名字符串替换为签名,并使用同一包中的数据。公钥必须采用PEM格式,我添加了BEGIN和END令牌以及一些换行符。 我的问题是我无法获取此PHP代码来成功验证数据/签名,并且我不知道需要进行哪些更改才能使其正常工作。 如果我使用openssl,创建私钥和公钥,使用sha1为相同数据创建签名并通过上面的php代码运行它,那么它可以正常工作并成功验证。 这是我使用OpenSSL的方法:
openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem
然后我使用private.pem和一些php代码生成签名:
...
openssl_sign($data,$pkeyid);
...
有人在应用程序内签名的服务器端验证中有任何有效的示例php代码吗? 我可以只运行示例应用程序中的等效Java代码,这似乎可以正常工作,但如果可能的话,我想直接使用php。     

解决方法

我已经编写了一个库来验证Android Market的许可响应,该库可以在Google Code中找到。 只需花费几行PHP即可验证许可证,并且密钥和OpenSSL内容的格式将由您处理。     ,是否可以在PHP脚本中使用cURL,而不是PHP流中内置的内容。我以前使用过它们,发现问题更加罕见,错误消息也更加冗长。     

相关问答

Selenium Web驱动程序和Java。元素在(x,y)点处不可单击。其...
Python-如何使用点“。” 访问字典成员?
Java 字符串是不可变的。到底是什么意思?
Java中的“ final”关键字如何工作?(我仍然可以修改对象。...
“loop:”在Java代码中。这是什么,为什么要编译?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbc...