付费android应用的服务器端用户身份验证

Question

我正在为白日梦的Android应用程序，这是支付，没有登录屏幕。

我想要模拟我在为Oculus outlined here开发时使用的用户身份验证流程，在该流程中，您首先进行本地许可证检查，然后使用返回的数据和userId通过http/REST进行从我的后端到Google Play的服务器端检查。

我似乎找不到一种方法来获取Android应用程序的userId (或令牌)，以便在没有登录的情况下进行此检查。我目前的目标是使用非常过时的许可证验证库(用于本地检查)，如here所述，然后使用Google Play Developer API执行服务器检查。

这是正确的方法吗，还是有更好/更现代的方法来做这件事？一个也许是模仿Oculus flow的模型？此外，我想限制我需要向用户请求的权限，因为使用Daydream VR时，用户此时必须移除耳机才能接受权限。

谢谢

Answer 1

检查Using OAuth 2.0 for Web Server Applications，因为它与在服务器端处理OAuth有关。您所展示的流程也有点类似于Web server applications图。