Google Play 结算系统：打击欺诈和滥用行为

小提示：您能找到这篇{Google Play 结算系统：打击欺诈和滥用行为}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Google Play 结算系统：打击欺诈和滥用行为内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

随着您的应用越来越受欢迎，它也会引起恶意用户的注意，他们可能会滥用您的应用。本主题介绍了一些建议，您应该利用这些建议帮助防止这些针对结算服务集成的攻击，并减少滥用行为对您的应用的影响。

将敏感逻辑移至后端

在应用设计允许的范围内，尽可能将敏感数据和逻辑移至您控制的后端服务器。前端设备中的数据和逻辑越多，就越容易遭到修改或篡改。

例如，在线国际象棋游日本政府危机公关戏应该在后端验证每一步，而不是相信前端发送的每一步始终都是合法的。

此外，如果发现了漏洞或安全问题，根据您的系统设计，在后端而非前端进行调试、修复和发布更新可能也会更容易。

在授予权限前验证购买交易

应该在后端处理敏感数据和逻辑的一种特殊情况是购买交易验证。用户完成购买交易后，您应该执行以下操作：

将相应的purchaseToken发送到后端。也就是说，您应维护一份所有购买交易的所有purchaseToken值记录。

验证当前购买交易的purchaseToken值是否与以前的任何purchaseToken值都不匹配。purchaseToken具有全局唯一性，因此您可以放心地使用此值作为数据库中的主键。

使用Google Play Developer API中的Purchases.products:get或Purchases.subscriptions:get端点向Google验证购买交易是否合法。

如果购买交易合法且过去没有使用过，那么您就可以放心地授予对应用内商品或订阅的权限。

对于订阅，在Purchases.subscriptions:get中设置linkedPurchaseToken时，您还应从数据库中移除linkedPurchaseToken并撤消授予linkedPurchaseToken的权限，以确保不会因同一购买交易而向多个用户授予权限。

注意：请勿使用orderId检查是否存在重复的购买交易或将其作为数据库中的主键，因为不能保证所有邀请媒体费用多少购买交易都会生成orderId。特别是，使用促销代码完成的购买交易不会生成orderId。

保护未锁定内容

为防止恶意用户重新分发您未锁定的内容，请勿将这种内容放入您的APK文件中，而是执行以下操作之一：

使用实时服务发送内容，例如内容Feed。通过实时服务发送内容还可以使内容始终保持最新状态。

使用远程服务器发送内容。

通过远程服务器或实时服务发送内容时，您可以将未锁定内容存储在设备内存中或设备的SD卡上。如果将内容存储在SD卡上，请务必加密内容并使用设备专用加密密钥。

检测并处理作废的购买交易

作废的购买交易是指已经取消、撤消或退款的购买交易。如果作废的购买交易此前已向用户授予应用内商品或其他内容，您可以使用Voided Purchases API获悉购买交易作废的原因并获得您可以收回的任何关联内容。

注意：如果作废的购买交易没有任何与之关联的可收回内容，Voided Purchases API不会公开此类购买交易。

购买应用内商品和订阅的交易可能出于各种原因而作废，其中包括：

用户、开发者或Google取消购买交易。请注意，对于订阅，这是指取消购买订阅的交易，而不是取消订阅本身。

购买交易被退款。

应用开发者取消用户订单或退款，并在控制台中选中“撤消”选项。

您可以根据购买交易作废的原因并考虑用户以前的行为数据来决定相应的操作。我们建议您执行以下一项或多项操作：

执行收回商品操作：如果购买交易作废，您可以收回未使用的商品，视同其从未出售过。例如，如果游戏币购买交易作废，您可以收回已经授予用户的游戏币。如果用户已经花掉了游戏币，可以考虑将游戏币余额设置为负数，并限制应用活动和未来的购买交易，直到游戏币余额为正数。

实施多次警示：可以考虑对初犯者采取比较温和的措施，比如显示应用内警告。对于屡犯者，应考虑采取更严厉的措施。

暂时禁止购买：与实施多次警示类似，您也可以考虑在您能够更彻底地调查购买交易作废的原因之前，禁止购买交易曾经作废的用户进行购买。

暂时或永久禁止访问您的应用：对于屡次实施恶意活动的极端情况，应考虑暂时或永久禁止对方访问您的应用。

频繁调用Voided Purchases API：当您检测到一笔或多笔作废的购买交易时，可以考虑更频繁地调用Voided Purchases API，以便在用户使用前收回所购商品。如需了解有关Voided Purchaisse API配额的更多信息，请参阅Voided Purchases API文档。

帮助Google在欺诈发生前及时发现欺诈行为

实施某些类型的欺诈行为的恶意用户会创建多个Google帐号和应用内帐号来隐藏他们的活动。

将builder中的setObfuscatedAccountId和setObfuscatedProfileId方法用于BillingFlowParams可帮助Google将Google帐号映射到应用内帐号。

Google会使用这些数据检测可疑行为，并在某些类型的欺诈性交易完成之前及时加以阻止。

针对商标和版权侵犯采取行动

如果您使用远程服务器发送或管理内容，请确保当用户访问内容时，应用能够验证未锁定内容的购买状态。这样，您就可以根据需要撤消使用权，并最大限度地减少盗版。如果您看到自己的内容在Google Play上被重新分发，请务必迅速、果断地采取行动。如需了解更多详情，请参阅版权帮助中心内陈赫出轨危机公关的版权常见问题解答页面。