Cómo agregar la verificación de licencia en el servidor a tu app

Cuando verificas si el usuario compró o descargó una copia legítima de tu app de Google Play Store, es mejor realizar la verificación de la licencia en un servidor que puedas controlar.

En esta guía, se presenta un proceso paso a paso para completar la verificación de la licencia desde el servidor y algunas de las prácticas recomendadas que se relacionan con esta verificación.

Descripción general del proceso

En la figura 1, se muestra cómo se transfiere la información entre tu aplicación, Google Play y tu servidor privado:

Diagrama de flujo de datos
Figura 1: Flujo de datos entre tu app y Google Play, y luego entre tu app y tu servidor privado
  1. Tu app envía una solicitud a Google Play con el objetivo de averiguar si un usuario en particular compró o descargó una copia legítima de tu app.
  2. Google Play responde mediante el envío de un objeto de datos de respuesta, un objeto de tipo ResponseData, a tu app. Este objeto se compone de información firmada que indica si el usuario compró o descargó una copia legítima de tu app.
  3. Tu app realiza una solicitud a un servidor privado que tú controlas y verifica el contenido de los datos de respuesta.
  4. El servidor responde enviándole a tu app un estado que indica si el usuario efectivamente compró o descargó una copia legítima. Si el servidor proporciona un mensaje de "éxito", verifica la respuesta y luego otorga al usuario acceso a los recursos que requieren una licencia.

Debido a que los datos de respuesta fueron firmados por Google Play y luego se verificaron en tu servidor, no hay forma de modificar el objeto en el dispositivo que ejecuta tu app. Si la app depende del servidor y pone recursos a disposición de usuarios legítimos, estará mucho más protegida contra usuarios no autorizados.

En las siguientes secciones, se incluyen consideraciones adicionales que se deben tener en cuenta al realizar la verificación de licencia en el servidor.

Protección contra ataques de repetición

Después de recibir una respuesta de Google Play relacionada con el estado de la licencia del usuario, es posible que el usuario copie los datos de respuesta y los use varias veces o que se los dé a otros usuarios que podrían falsificar sus propias solicitudes en el servidor privado de tu aplicación. Este tipo de acción se conoce como ataque de repetición.

Para reducir la probabilidad de que los usuarios realicen ataques de repetición correctamente, toma las siguientes medidas antes de enviar una solicitud al servidor de tu app:

  • Verifica la marca de tiempo que se incluye en los datos de respuesta y asegúrate de que Google Play haya generado la respuesta recientemente.

  • Realiza una limitación de velocidad en la solicitud de tu servidor, como una retirada exponencial, para reducir la cantidad de veces que tu app intenta enviar los mismos datos de respuesta al servidor de tu app.

  • Antes de verificar el contenido de los datos de respuesta de Google Play en tu servidor privado, haz una solicitud inicial basada en autenticación a tu servidor privado. En esta primera solicitud, envía las credenciales de usuario a tu servidor y haz que este responda con una instancia (un número que se usa una sola vez). Luego, puedes incluir esta instancia en tu próxima solicitud a tu servidor privado para solicitar datos de verificación de licencia. Si quieres obtener detalles sobre cómo elegir un buen valor para la instancia, consulta la sección sobre cómo generar un valor adecuado de instancia.

Cómo generar un valor de instancia adecuado

Usa una de las siguientes técnicas para crear un valor de instancia que sea difícil de adivinar:

  • Genera un valor hash basado en el ID del usuario.
  • Genera un valor aleatorio para cada usuario. Almacena ese valor aleatorio en el servidor de tu app como parte de los atributos de un usuario determinado.

Verifica los datos de respuesta de tu servidor

Cuando revises los datos de respuesta que el servidor de tu app envía a tu aplicación, asegúrate de que la respuesta de la biblioteca de verificación de licencias no esté falsificada. Verifica la firma incluida en los datos de respuesta del servidor de apps comparándola con la clave que tu app recibió de Google Play en un paso anterior.

También vale la pena recordar que el bloque específico de la biblioteca de verificación de licencias (LVL) es la única parte que se firma. Por lo tanto, es la única parte de los datos de respuesta de tu servidor de apps en la que tu app debe confiar.