打擊欺詐和濫用行為,擾亂市場秩序行政法規

打擊欺詐和濫用

隨著您的應用程序越來越受歡迎，它也會引起惡意用戶的注意，他們可能會濫用您的應用程序。本主題介紹了一些建議，您應該使用這些建議來幫助防止這些針對結算服務集成的攻擊，并減少濫用行為對您的應用程序的影響。

將敏感邏輯移到后端

在應用程序設計允許的情況下，盡可能將敏感數據和邏輯轉移到您控制下的后端服務器。前端的數據和邏輯越多，越容易被修改或篡改。

比如網絡棋牌游戲，要在后端驗證每一步，而不是相信前端發來的每一步永遠是合法的。

此外，如果發現漏洞或安全問題，根據您的系統設計，在后端調試、修復和發布更新可能比在前端更容易。

在授予許可之前驗證購買交易

敏感數據和邏輯應該在后端處理的特殊情況是購買交易驗證。用戶完成購買交易后，您應該執行以下操作:

將對應的purchaseToken發國際快遞后端。也就是說，您應該維護所有采購交易的所有purchaseToken值的記錄。

驗證當前購買交易的purchaseToken值與任何以前的purchaseToken值都不匹配。PurchaseToken是全局唯一的，因此您可以安全地將該值用作數據庫中的主鍵。

使用Google Play開發者API中的Purchases.products:get或Purchases.subscriptions:get端點來驗證購買交易是否合法。

如果購買交易是合法的，并且過去沒有使用過，那么您可以安全地授予應用內商品或訂閱的權利。

對于訂閱，當您在Purchases.subscriptions:get中設置linkedPurchaseToken時，還應該從數據庫中刪除linkedPurchaseToken，并撤銷授予linkedPurchaseToken的權限，以確保多個用戶不會被授予對同一購買交易的權限。

注意:不要使用orderId來檢查是否有重復的購買交易，也不要將其用作數據庫中的主鍵，因為不能保證所有的購買交易都會生成orderId。特別是，用促銷代碼完成的購買交易不會生成orderId。

保護未鎖定的內容

為了防止惡意用戶重新分發您的未鎖定內容，請不要將此類內容放入您的APK文件中，而是執行以下操作之一:

使用實時服務發快遞內容，如內容提要。通過實時服務發快遞內容也可以使內容保持最新。

使用遠程服務器發快遞內容。

通過遠程服務器或實時服務發快遞內容時，您可以將解鎖的內容存儲在設備存儲器或設備的SD卡上。如果內容存儲在SD卡上，請確保加密內容并使用設備專用的加密密鑰。

檢測和處理無效的購買交易

作廢的采購交易是指已經被取消、取消或退款的采購交易。如果作廢的購買交易之前已將應用內商品或其他內容授予用戶，您可以使用作廢的購買API來了解作廢購買交易的原因，并獲取您可以撤回的任何相關內容。

注:如果無效采購事務處理沒有任何關聯的可撤消內容，則無效采購API不會披露該事務處理。

購買應用內商品和訂閱的交易可能因各種原因而無效，包括:

用戶、開發者或Google取消購買交易。請注意，對于訂閱，這是指取消購買訂閱的交易，而不是取消訂閱本身。

購買的東西被退還了。

應用程序開發人員取消用戶的訂單或退款，并在控制臺中選擇“取消”選項。

你可以根據購買交易取消的原因和用戶之前的行為數據來決定相應的動作。我們建議您執行以下一項或多項操作:

收回商品:如果購買交易無效，可以收回未使用的商品，就像從未售出過一樣。例如，如果游戲幣購買交易無效，您可以撤回已授予用戶的游戲幣。如果用戶已經花了游戲幣，考慮將游戲幣余額設置為負數，并限制應用活動和未來的購買交易，直到游戲幣余額為正數。

實施多重警告:考慮對初犯者采取溫和措施，比如顯示應用內警告。對于累犯，應考慮更嚴厲的措施。

臨時禁止購買:類似于多次警告的實施，您也可以考慮禁止購買交易被作廢的用戶進行購買，然后再徹底調查作廢購買交易的原因。

或者暫時或永久禁止訪問你的應用:在惡意活動屢禁不止的極端情況下，你應該考慮暫時或永久禁止對方訪問你的應用。

頻繁調用作廢采購API:當檢測到一筆或多筆作廢采購交易時，可以考慮更頻繁地調用作廢采購API，以便在用戶使用之前收回已采購的商品。有關作廢采購的更多信息，請參見作廢采購API文檔。

幫助谷歌在欺詐發生之前發現欺詐

實施某些類型欺詐的惡意用戶會創建多個谷歌賬戶和應用內賬戶來隱藏他們的活動。

在BillingFlowParams的builder中使用setObfuscatedAccountId和setObfuscatedProfileId方法可以幫助Google將Google帳戶映射到應用內帳戶。

谷歌將使用這些數據來檢測可疑行為，并在某些類型的欺詐交易完成之前阻止它們。

對商標和版權侵權行為采取行動

如果您使用遠程服務器發快遞或管理內容，請確保應用程序可以在用戶訪問內容時驗證未鎖定內容的購買狀態。這樣就可以根據需要撤銷使用權，最大限度減少盜版。如果你在Google Play上看到你的內容被重新分發，一定要迅速果斷地行動。有關更多詳細信息，請參考版權幫助中心的版權常見問題頁面。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。