原文链接:http://blog.csdn.net/hjun01/article/details/42032841      

 OAuth 2.0 for Web Server Applications, verifying a user's Android in-app subscription

在写本文之前先说些题外话。

前段时间游戏急于在GoolePlay上线,明知道如果不加Auth2.0的校验是不安全的还是暂时略过了这一步,果然没几天就发现后台记录与玩家实际付费不太一致,怀疑有玩家盗刷游戏元宝等,并且真实的走过了GooglePlay的所有支付流程完成道具兑换,时间一长严重性可想而知。经过查阅大量google官方文档后把代码补上,并在这里记录下OAuth 2.0 的使用,Google提供了OAuth2.0的好几种使用用途,每种使用方法都有些不同,具体可以看下这篇博客。在这里只写OAuth 2.0 for Web Server Applications的使用,涉及refresh_token, access_token等的获取和使用,以及如何向google发送GET和POST请求等,最终完成用户在安卓应用内支付购买信息的校验。

先贴下关于Using OAuth 2.0 for Web Server Applications的解释的谷歌官方原文

The authorization sequence begins when your application redirects a browser to a Google URL; the URL includes query parameters that indicate the type of access being requested. As in other scenarios, Google handles user authentication, session selection, and user consent. The result is an authorization code, which Google returns to your application in a query string.
        After receiving the authorization code, your application can exchange the code (along with a client ID and client secret) for an access token and, in some cases, a refresh token.
        The application can then use the access token to access a Google API.
        If a refresh token is present in the authorization code exchange, then it can be used to obtain new access tokens at any time. This is called offline access, because the user does not have to be present at the browser when the application obtains a new access token.

通过原文和图解我们可以知道这样一个流程(下文会详细说明):

一. 在Google Developer Console中创建一个 Web Application账户,得到client_id,client_secret 和 redirect_uri,这3个参数后边步骤常用到(此为前提)

二. 获取Authorization code

三. 利用code 获取access_token,refresh_token

四. 进一步可利用refresh_token获取新的access_token

五. 使用access_token 调用Google API 达到最终目的(如果access_token过时,回到第四步)

需注意的是:在第三步操作,当我们第一次利用code获取access_token时,谷歌会同时返回给你一个refresh_token,以后再次用code获取access_token操作将不会再看到refresh_token,所以一定要保存下来。这个refresh_token是长期有效的,如果没有明确的被应用管理者撤销是不会过期的,而access_token则只有3600秒的时效,即1个小时,那么问题来了,access_token和refresh_token是什么关系?很明显的,我们最终是要使用access_token 去调用Google API,而access_token又有时效限制,所以当access_token过期后,我们可以用长效的refresh_token去再次获取access_token,并且可以可以在任何时间多次获取,没有次数限制。其实当我们得到refresh_token后,就是一个转折点。

下面详细分解步骤:

一、在Google Developer Console中创建一个Web application账户

(这里使用的是新版的Google Developer Console页面,其实可在Account settings中设置为中文显示~)

其中4.可以随意填写。创建完成后可以看下下图所示:

在这里我们拿到3个关键参数: client_id,client_secret,redirect_uris,,于下边步骤。

可能会有人有疑问,怎么就能确定在google developer console 建立的project就于Googleplay上线的安卓应用有关联呢?为什么可以用这些参数得来的access_token去调用谷歌API?其实在Googleplay发布应用时就有关联project的操作,之后创建project的人可以给其他谷歌账户授权,这样其他谷歌账户可以在自己的developer console页面直接看到该project和以下的web application等, 并且可在下一步操作中登录自己的谷歌账户获取code。

二. 获取Authorization code

https://accounts.google.com/o/oauth2/auth?scope=https://www.googleapis.com/auth/androidpublisher

&response_type=code

&access_type=offline

&redirect_uri={REDIRECT_URIS}

&client_id={CLIENT_ID}
 

我们需要将这个URL以浏览器的形式打开,这时会跳出提示你Sign in with your Google Account,然后在用有project授权的谷歌账户登录,地址栏会出现我们所需的code。例如:https://www.example.com/oauth2callback?code=4/CpVOd8CljO_gxTRE1M5jtwEFwf8gRD44vrmKNDi4GSS.kr-GHuseD-oZEnp6UADFXm0E0MD3FlAI

三. 利用code 获取access_token,refresh_token

https://accounts.google.com/o/oauth2/token?

code={CODE}

&client_id={CLIENT_ID}

&client_secret={CLIENT_SECRET}

&redirect_uri={REDIRECT}

&grant_type=authorization_code
 

我们这一步的目的是获取refresh_token,只要有了这个长效token,access_token是随时可以获取的,第一次发起请求得到的JSON字符串如下所示,以后再请求将不再出现refresh_token,要保存好。expires_in是指access_token的时效,为3600秒。

{

    "access_token": "ya29.3gC2jw5vm77YPkylq0H5sPJeJJDHX93Kq8qZHRJaMlknwJ85595eMogL300XKDOEI7zIsdeFEPY6zg",

    "token_type": "Bearer",

    "expires_in": 3600,

    "refresh_token": "1/FbQD448CdDPfDEDpCy4gj_m3WDr_M0U5WupquXL_o"
}

四. 进一步可利用refresh_token获取新的access_token

https://accounts.google.com/o/oauth2/token?

grant_type=refresh_token

&client_id={CLIENT_ID}

&client_secret={CLIENT_SECRET}

&refresh_token={REFRESH_TOKEN}

这里我们要向谷歌发起POST请求,Java代码如下:

  1. /** 获取access_token **/
  2. private static Map<String,String> getAccessToken(){
  3. final String CLIENT_ID = "填入你的client_id";
  4. final String CLIENT_SECRET = "填入你的client_secret";
  5. final String REFRESH_TOKEN = "填入上一步获取的refresh_token";
  6. Map<String,String> map = null;
  7. try {
  8. /**
  9. * https://accounts.google.com/o/oauth2/token?refresh_token={REFRESH_TOKEN}
  10. * &client_id={CLIENT_ID}&client_secret={CLIENT_SECRET}&grant_type=refresh_token
  11. */
  12. URL urlGetToken = new URL("https://accounts.google.com/o/oauth2/token");
  13. HttpURLConnection connectionGetToken = (HttpURLConnection) urlGetToken.openConnection();
  14. connectionGetToken.setRequestMethod("POST");
  15. connectionGetToken.setDoOutput(true);
  16. // 开始传送参数
  17. OutputStreamWriter writer  = new OutputStreamWriter(connectionGetToken.getOutputStream());
  18. writer.write("refresh_token="+REFRESH_TOKEN+"&");
  19. writer.write("client_id="+CLIENT_ID+"&");
  20. writer.write("client_secret="+CLIENT_SECRET+"&");
  21. writer.write("grant_type=refresh_token");
  22. writer.close();
  23. //若响应码为200则表示请求成功
  24. if(connectionGetToken.getResponseCode() == HttpURLConnection.HTTP_OK){
  25. StringBuilder sb = new StringBuilder();
  26. BufferedReader reader = new BufferedReader(
  27. new InputStreamReader(connectionGetToken.getInputStream(), "utf-8"));
  28. String strLine = "";
  29. while((strLine = reader.readLine()) != null){
  30. sb.append(strLine);
  31. }
  32. // 取得谷歌回传的信息(JSON格式)
  33. JSONObject jo = JSONObject.fromObject(sb.toString());
  34. String ACCESS_TOKEN = jo.getString("access_token");
  35. Integer EXPIRES_IN = jo.getInt("expires_in");
  36. map = new HashMap<String,String>();
  37. map.put("access_token", ACCESS_TOKEN);
  38. map.put("expires_in", String.valueOf(EXPIRES_IN));
  39. // 带入access_token的创建时间,用于之后判断是否失效
  40. map.put("create_time",String.valueOf((new Date().getTime()) / 1000));
  41. logger.info("包含access_token的JSON信息为: "+jo);
  42. }
  43. } catch (MalformedURLException e) {
  44. logger.error("获取access_token失败,原因是:"+e);
  45. e.printStackTrace();
  46. } catch (IOException e) {
  47. logger.error("获取access_token失败,原因是:"+e);
  48. e.printStackTrace();
  49. }
  50. return map;
  51. }

五. 使用access_token 调用Google API 达到最终目的(如果access_token过时,回到第四步)

在这里我所需要获取的是我在应用内给GooglePlay支付的购买信息,此类信息包含以下几个属性:(可参考Google Play Developer API下的Purchases.products

A ProductPurchase resource indicates the status of a user's inapp product purchase.

{

  "kind": "androidpublisher#productPurchase",

  "purchaseTimeMillis": long,

  "purchaseState": integer, (purchased:0  cancelled:1,我们就是依靠这个判断购买信息)

  "consumptionState": integer,

  "developerPayload": string

}

带着access_token参数向GoogleApi发起GET请求,Java代码如下:

  1. private static Map<String,String> cacheToken = null;//设置静态变量,用于判断access_token是否过期
  2. public static GooglePlayBuyEntity getInfoFromGooglePlayServer(String packageName,String productId, String purchaseToken) {
  3. if(null != cacheToken){
  4. Long expires_in = Long.valueOf(cacheToken.get("expires_in")); // 有效时长
  5. Long create_time = Long.valueOf(cacheToken.get("create_time")); // access_token的创建时间
  6. Long now_time = (new Date().getTime()) / 1000;
  7. if(now_time > (create_time + expires_in - 300)){ // 提前五分钟重新获取access_token
  8. cacheToken = getAccessToken();
  9. }
  10. }else{
  11. cacheToken = getAccessToken();
  12. }
  13. String access_token = cacheToken.get("access_token");
  14. GooglePlayBuyEntity buyEntity = null;
  15. try {
  16. /**这是写这篇博客时间时的最新API,v2版本。
  17. * https://www.googleapis.com/androidpublisher/v2/applications/{packageName}
  18. * /purchases/products/{productId}/tokens/{purchaseToken}?access_token={access_token}
  19. */
  20. String url = "https://www.googleapis.com/androidpublisher/v2/applications";
  21. StringBuffer getURL = new StringBuffer();
  22. getURL.append(url);
  23. getURL.append("/" + packageName);
  24. getURL.append("/purchases/products");
  25. getURL.append("/" + productId   );
  26. getURL.append("/tokens/" + purchaseToken);
  27. getURL.append("?access_token=" + access_token);
  28. URL urlObtainOrder = new URL(getURL.toString());
  29. HttpURLConnection connectionObtainOrder = (HttpURLConnection) urlObtainOrder.openConnection();
  30. connectionObtainOrder.setRequestMethod("GET");
  31. connectionObtainOrder.setDoOutput(true);
  32. // 如果认证成功
  33. if (connectionObtainOrder.getResponseCode() == HttpURLConnection.HTTP_OK) {
  34. StringBuilder sbLines = new StringBuilder("");
  35. BufferedReader reader = new BufferedReader(new InputStreamReader(
  36. connectionObtainOrder.getInputStream(), "utf-8"));
  37. String strLine = "";
  38. while ((strLine = reader.readLine()) != null) {
  39. sbLines.append(strLine);
  40. }
  41. // 把上面取回來的資料,放進JSONObject中,以方便我們直接存取到想要的參數
  42. JSONObject jo = JSONObject.fromObject(sbLines.toString());
  43. Integer status = jo.getInt("purchaseState");
  44. if(status == 0){ //验证成功
  45. buyEntity = new GooglePlayBuyEntity();
  46. buyEntity.setConsumptionState(jo.getInt("consumptionState"));
  47. buyEntity.setDeveloperPayload(jo.getString("developerPayload"));
  48. buyEntity.setKind(jo.getString("kind"));
  49. buyEntity.setPurchaseState(status);
  50. buyEntity.setPurchaseTimeMillis(jo.getLong("purchaseTimeMillis"));
  51. }else{
  52. // 购买无效
  53. buyEntity = new GooglePlayBuyEntity();
  54. buyEntity.setPurchaseState(status);
  55. logger.info("从GooglePlay账单校验失败,原因是purchaseStatus为" + status);
  56. }
  57. }
  58. } catch (Exception e) {
  59. e.printStackTrace();
  60. buyEntity = new GooglePlayBuyEntity();
  61. buyEntity.setPurchaseState(-1);
  62. }
  63. return buyEntity;
  64. }

到这里就写完了,如果有什么疑问可以留言。

另外,iOS应用内支付,苹果商店AppStore购买信息校验的博客在这里:http://blog.csdn.net/hjun01/article/details/44039939

【实例图文详解】OAuth 2.0 for Web Server Applications的更多相关文章

  1. Windows-007-进程相关命令(netstat、tasklist、taskkill、tskill)实战实例图文详解

    本节主要讲述 Windows 系统下,nestat.tasklist.tskill 三个 CMD 命令的参数,及使用方法:以及如何利用三者结合查看进程信息和结束进程.敬请亲们参阅,希望能对亲们有所帮助 ...

  2. 访问Storm ui界面,出现Nimbus Summary或Supervisor Summary时有时无的问题解决(图文详解)

    不多说,直接上干货! 前期博客 apache-storm-0.9.6.tar.gz的集群搭建(3节点)(图文详解) apache-storm-1.0.2.tar.gz的集群搭建(3节点)(图文详解)( ...

  3. 访问Storm ui界面,出现org.apache.storm.utils.NimbusLeaderNotFoundException: Could not find leader nimbus from seed hosts ["master"]. Did you specify a valid list of nimbus hosts for confi的问题解决(图文详解)

    不多说,直接上干货! 前期博客 apache-storm-0.9.6.tar.gz的集群搭建(3节点)(图文详解) apache-storm-1.0.2.tar.gz的集群搭建(3节点)(图文详解)( ...

  4. Android EventBus 3.0 实例使用详解

    EventBus的使用和原理在网上有很多的博客了,其中泓洋大哥和启舰写的非常非常棒,我也是跟着他们的博客学会的EventBus,因为是第一次接触并使用EventBus,所以我写的更多是如何使用,源码解 ...

  5. CentOS7+CDH5.14.0安装全流程记录,图文详解全程实测-总目录

    CentOS7+CDH5.14.0安装全流程记录,图文详解全程实测-总目录: 0.Windows 10本机下载Xshell,以方便往Linux主机上上传大文件 1.CentOS7+CDH5.14.0安 ...

  6. spark最新源码下载并导入到开发环境下助推高质量代码(Scala IDEA for Eclipse和IntelliJ IDEA皆适用)(以spark2.2.0源码包为例)(图文详解)

    不多说,直接上干货! 前言   其实啊,无论你是初学者还是具备了有一定spark编程经验,都需要对spark源码足够重视起来. 本人,肺腑之己见,想要成为大数据的大牛和顶尖专家,多结合源码和操练编程. ...

  7. hadoop-2.7.3.tar.gz + spark-2.0.2-bin-hadoop2.7.tgz + zeppelin-0.6.2-incubating-bin-all.tgz(master、slave1和slave2)(博主推荐)(图文详解)

    不多说,直接上干货! 我这里,采取的是ubuntu 16.04系统,当然大家也可以在CentOS6.5里,这些都是小事 CentOS 6.5的安装详解 hadoop-2.6.0.tar.gz + sp ...

  8. hadoop-2.6.0.tar.gz + spark-1.6.1-bin-hadoop2.6.tgz + zeppelin-0.5.6-incubating-bin-all.tgz(master、slave1和slave2)(博主推荐)(图文详解)

    不多说,直接上干货! 我这里,采取的是CentOS6.5,当然大家也可以在ubuntu 16.04系统里,这些都是小事 CentOS 6.5的安装详解 hadoop-2.6.0.tar.gz + sp ...

  9. VMware下OSSIM 4.1.0的下载、安装和初步使用(图文详解)

    不多说,直接上干货! 为什么,我写了一篇OSSIM 5.2.0的,还要再来写OSSIM 4.1.0呢,是因为,OSSIM 5.2.0所需内存较大,8G甚至16G,但是,肯定性能和里面集成组件越高级.也 ...

随机推荐

  1. Caffe学习系列(8):solver,train_val.prototxt,deploy.prototxt及其配置

    solver是caffe的核心. net: "examples/mnist/lenet_train_test.prototxt" test_iter: 100 test_inter ...

  2. 冒泡法的算法最佳情况下的时间复杂度为什么是O(n)

    我在许多书本上看到冒泡排序的最佳时间复杂度是O(n),即是在序列本来就是正序的情况下. 但我一直不明白这是怎么算出来的,因此通过阅读<算法导论-第2版>的2.2节,使用对插入排序最佳时间复 ...

  3. OPENSSL问题,使用fsockopen()函数提示错误

    环境配置 系统环境 CentOS7.2WDCP v3.2.2 lanmp PHP 多版本 指定使用5.6 OpenSSL 1.0.2h  3 May 2016 php.ini相关设置allow_url ...

  4. for循环练习题(共六道题)

    第一题: 假设一个简单的ATM机的取款过程是这样的:首先提示用户输入密码(password),最多只能输入三次,超过3次则提示用户“密码错误,请取卡”结束交易.如果用户密码正确,再提示用户输入取款金额 ...

  5. 【LOJ】#2280. 「FJOI2017」矩阵填数

    题解 我们发现没有限制的小方格可以随便填 然后考虑有限制的,我们把它切割成一个个小块(枚举相邻的横纵坐标),然后记录一下这个小块的最大值限制(也就是所有覆盖它的矩形最小的最大值) 记录一下每个小块的大 ...

  6. Codeforces Round #302 (Div. 1) B - Destroying Roads

    B - Destroying Roads 思路:这么菜的题我居然想了40分钟... n^2枚举两个交汇点,点与点之间肯定都跑最短路,取最小值. #include<bits/stdc++.h> ...

  7. openssl解析国密X509证书

    openssl解析国密X509证书,把公钥拿出来重写一下就行了        x = strToX509(pbCert, pulCertLen);dwRet = getCertPubKey(x, &a ...

  8. ref:JAVA代码审计的一些Tips(附脚本)

    ref:https://xz.aliyun.com/t/1633/ JAVA代码审计的一些Tips(附脚本) 概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JA ...

  9. Mock(模拟后端接口数据)配合Vuex的使用

    1.下载Mock  cnpm install Mockjs -S 2.新建一个data.js存放新生成的mock文件 编辑mock  并导出 const Mock = require('mockjs' ...

  10. 恢复mysql数据库误删数据

    前言 某一天,天朗气清:突然传来消息:数据库被删库了!这简直不亚于8级大地震呀:一找原因,服务器宕机造成了数据库数据丢失.于是,通过日志恢复数据的救援开始了. 正文 在数据库开启binlog功能 找到 ...