检查谷歌播放收据是否足以确保我的玩家在统一的前提下获得数据？

Question

具体来说，我现在正在存储游戏项目的数据，这取决于Google提供的IAP服务。

我使用的是统一提供的玩家精灵，我知道这是不安全的。因此，我有一个想法，得到这个玩家从游戏中购买了什么:如果用户购买了一个项目，他可以使用它，如果他不能。

所以这条路对我的游戏来说足够安全了？

这个游戏使用团结，它是一个多人在线游戏，我没有能力用户服务器端认证，这就是为什么我想这个解决方案。

Answer 1

是的

这实际上在IAP服务的文档中，并且被认为是在应用程序购买中验证的唯一方法。

Answer 2

接受的答案是不正确的。

这实际上在IAP服务的文档中，并且被认为是在应用程序购买中验证的唯一方法。

您从联合的收据验证器获得的IPurchaseReceipt可以转换为GooglePlayReceipt。然后，您可以将GooglePlayReceipt.purchaseToken、GooglePlayReceipt.productID和GooglePlayReceipt.packageName从收据发送到您自己的服务器，然后服务器可以使用Google API来验证购买。

https://developers.google.com/android-publisher/api-ref/purchases/products/get

所以这条路对我的游戏来说足够安全了？

这确实取决于应用程序的类型，但是在托管成本和所涉及的工作量之间，实现服务器端收据验证可能不值得。