打擊欺詐和濫用行為,擾亂市場秩序行政法規(guī)-ESG跨境

打擊欺詐和濫用行為,擾亂市場秩序行政法規(guī)

打擊欺詐和濫用

隨著您的應(yīng)用程序越來越受歡迎，它也會引起惡意用戶的注意，他們可能會濫用您的應(yīng)用程序。本主題介紹了一些建議，您應(yīng)該使用這些建議來幫助防止這些針對結(jié)算服務(wù)集成的攻擊，并減少濫用行為對您的應(yīng)用程序的影響。

將敏感邏輯移到后端

在應(yīng)用程序設(shè)計允許的情況下，盡可能將敏感數(shù)據(jù)和邏輯轉(zhuǎn)移到您控制下的后端服務(wù)器。前端的數(shù)據(jù)和邏輯越多，越容易被修改或篡改。

比如網(wǎng)絡(luò)棋牌游戲，要在后端驗證每一步，而不是相信前端發(fā)來的每一步永遠是合法的。

此外，如果發(fā)現(xiàn)漏洞或安全問題，根據(jù)您的系統(tǒng)設(shè)計，在后端調(diào)試、修復(fù)和發(fā)布更新可能比在前端更容易。

在授予許可之前驗證購買交易

敏感數(shù)據(jù)和邏輯應(yīng)該在后端處理的特殊情況是購買交易驗證。用戶完成購買交易后，您應(yīng)該執(zhí)行以下操作:

將對應(yīng)的purchaseToken發(fā)國際快遞后端。也就是說，您應(yīng)該維護所有采購交易的所有purchaseToken值的記錄。

驗證當(dāng)前購買交易的purchaseToken值與任何以前的purchaseToken值都不匹配。PurchaseToken是全局唯一的，因此您可以安全地將該值用作數(shù)據(jù)庫中的主鍵。

使用Google Play開發(fā)者API中的Purchases.products:get或Purchases.subscriptions:get端點來驗證購買交易是否合法。

如果購買交易是合法的，并且過去沒有使用過，那么您可以安全地授予應(yīng)用內(nèi)商品或訂閱的權(quán)利。

對于訂閱，當(dāng)您在Purchases.subscriptions:get中設(shè)置linkedPurchaseToken時，還應(yīng)該從數(shù)據(jù)庫中刪除linkedPurchaseToken，并撤銷授予linkedPurchaseToken的權(quán)限，以確保多個用戶不會被授予對同一購買交易的權(quán)限。

注意:不要使用orderId來檢查是否有重復(fù)的購買交易，也不要將其用作數(shù)據(jù)庫中的主鍵，因為不能保證所有的購買交易都會生成orderId。特別是，用促銷代碼完成的購買交易不會生成orderId。

保護未鎖定的內(nèi)容

為了防止惡意用戶重新分發(fā)您的未鎖定內(nèi)容，請不要將此類內(nèi)容放入您的APK文件中，而是執(zhí)行以下操作之一:

使用實時服務(wù)發(fā)快遞內(nèi)容，如內(nèi)容提要。通過實時服務(wù)發(fā)快遞內(nèi)容也可以使內(nèi)容保持最新。

使用遠程服務(wù)器發(fā)快遞內(nèi)容。

通過遠程服務(wù)器或?qū)崟r服務(wù)發(fā)快遞內(nèi)容時，您可以將解鎖的內(nèi)容存儲在設(shè)備存儲器或設(shè)備的SD卡上。如果內(nèi)容存儲在SD卡上，請確保加密內(nèi)容并使用設(shè)備專用的加密密鑰。

檢測和處理無效的購買交易

作廢的采購交易是指已經(jīng)被取消、取消或退款的采購交易。如果作廢的購買交易之前已將應(yīng)用內(nèi)商品或其他內(nèi)容授予用戶，您可以使用作廢的購買API來了解作廢購買交易的原因，并獲取您可以撤回的任何相關(guān)內(nèi)容。

注:如果無效采購事務(wù)處理沒有任何關(guān)聯(lián)的可撤消內(nèi)容，則無效采購API不會披露該事務(wù)處理。

購買應(yīng)用內(nèi)商品和訂閱的交易可能因各種原因而無效，包括:

用戶、開發(fā)者或Google取消購買交易。請注意，對于訂閱，這是指取消購買訂閱的交易，而不是取消訂閱本身。

購買的東西被退還了。

應(yīng)用程序開發(fā)人員取消用戶的訂單或退款，并在控制臺中選擇“取消”選項。

你可以根據(jù)購買交易取消的原因和用戶之前的行為數(shù)據(jù)來決定相應(yīng)的動作。我們建議您執(zhí)行以下一項或多項操作:

收回商品:如果購買交易無效，可以收回未使用的商品，就像從未售出過一樣。例如，如果游戲幣購買交易無效，您可以撤回已授予用戶的游戲幣。如果用戶已經(jīng)花了游戲幣，考慮將游戲幣余額設(shè)置為負數(shù)，并限制應(yīng)用活動和未來的購買交易，直到游戲幣余額為正數(shù)。

實施多重警告:考慮對初犯者采取溫和措施，比如顯示應(yīng)用內(nèi)警告。對于累犯，應(yīng)考慮更嚴(yán)厲的措施。

臨時禁止購買:類似于多次警告的實施，您也可以考慮禁止購買交易被作廢的用戶進行購買，然后再徹底調(diào)查作廢購買交易的原因。

或者暫時或永久禁止訪問你的應(yīng)用:在惡意活動屢禁不止的極端情況下，你應(yīng)該考慮暫時或永久禁止對方訪問你的應(yīng)用。

頻繁調(diào)用作廢采購API:當(dāng)檢測到一筆或多筆作廢采購交易時，可以考慮更頻繁地調(diào)用作廢采購API，以便在用戶使用之前收回已采購的商品。有關(guān)作廢采購的更多信息，請參見作廢采購API文檔。

幫助谷歌在欺詐發(fā)生之前發(fā)現(xiàn)欺詐

實施某些類型欺詐的惡意用戶會創(chuàng)建多個谷歌賬戶和應(yīng)用內(nèi)賬戶來隱藏他們的活動。

在BillingFlowParams的builder中使用setObfuscatedAccountId和setObfuscatedProfileId方法可以幫助Google將Google帳戶映射到應(yīng)用內(nèi)帳戶。

谷歌將使用這些數(shù)據(jù)來檢測可疑行為，并在某些類型的欺詐交易完成之前阻止它們。

對商標(biāo)和版權(quán)侵權(quán)行為采取行動

如果您使用遠程服務(wù)器發(fā)快遞或管理內(nèi)容，請確保應(yīng)用程序可以在用戶訪問內(nèi)容時驗證未鎖定內(nèi)容的購買狀態(tài)。這樣就可以根據(jù)需要撤銷使用權(quán)，最大限度減少盜版。如果你在Google Play上看到你的內(nèi)容被重新分發(fā)，一定要迅速果斷地行動。有關(guān)更多詳細信息，請參考版權(quán)幫助中心的版權(quán)常見問題頁面。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。