打击欺诈和滥用行为,扰乱市场秩序行政法规-ESG跨境

打击欺诈和滥用行为,扰乱市场秩序行政法规

打击欺诈和滥用

随着您的应用程序越来越受欢迎，它也会引起恶意用户的注意，他们可能会滥用您的应用程序。本主题介绍了一些建议，您应该使用这些建议来帮助防止这些针对结算服务集成的攻击，并减少滥用行为对您的应用程序的影响。

将敏感逻辑移到后端

在应用程序设计允许的情况下，尽可能将敏感数据和逻辑转移到您控制下的后端服务器。前端的数据和逻辑越多，越容易被修改或篡改。

比如网络棋牌游戏，要在后端验证每一步，而不是相信前端发来的每一步永远是合法的。

此外，如果发现漏洞或安全问题，根据您的系统设计，在后端调试、修复和发布更新可能比在前端更容易。

在授予许可之前验证购买交易

敏感数据和逻辑应该在后端处理的特殊情况是购买交易验证。用户完成购买交易后，您应该执行以下操作:

将对应的purchaseToken发国际快递后端。也就是说，您应该维护所有采购交易的所有purchaseToken值的记录。

验证当前购买交易的purchaseToken值与任何以前的purchaseToken值都不匹配。PurchaseToken是全局唯一的，因此您可以安全地将该值用作数据库中的主键。

使用Google Play开发者API中的Purchases.products:get或Purchases.subscriptions:get端点来验证购买交易是否合法。

如果购买交易是合法的，并且过去没有使用过，那么您可以安全地授予应用内商品或订阅的权利。

对于订阅，当您在Purchases.subscriptions:get中设置linkedPurchaseToken时，还应该从数据库中删除linkedPurchaseToken，并撤销授予linkedPurchaseToken的权限，以确保多个用户不会被授予对同一购买交易的权限。

注意:不要使用orderId来检查是否有重复的购买交易，也不要将其用作数据库中的主键，因为不能保证所有的购买交易都会生成orderId。特别是，用促销代码完成的购买交易不会生成orderId。

保护未锁定的内容

为了防止恶意用户重新分发您的未锁定内容，请不要将此类内容放入您的APK文件中，而是执行以下操作之一:

使用实时服务发快递内容，如内容提要。通过实时服务发快递内容也可以使内容保持最新。

使用远程服务器发快递内容。

通过远程服务器或实时服务发快递内容时，您可以将解锁的内容存储在设备存储器或设备的SD卡上。如果内容存储在SD卡上，请确保加密内容并使用设备专用的加密密钥。

检测和处理无效的购买交易

作废的采购交易是指已经被取消、取消或退款的采购交易。如果作废的购买交易之前已将应用内商品或其他内容授予用户，您可以使用作废的购买API来了解作废购买交易的原因，并获取您可以撤回的任何相关内容。

注:如果无效采购事务处理没有任何关联的可撤消内容，则无效采购API不会披露该事务处理。

购买应用内商品和订阅的交易可能因各种原因而无效，包括:

用户、开发者或Google取消购买交易。请注意，对于订阅，这是指取消购买订阅的交易，而不是取消订阅本身。

购买的东西被退还了。

应用程序开发人员取消用户的订单或退款，并在控制台中选择“取消”选项。

你可以根据购买交易取消的原因和用户之前的行为数据来决定相应的动作。我们建议您执行以下一项或多项操作:

收回商品:如果购买交易无效，可以收回未使用的商品，就像从未售出过一样。例如，如果游戏币购买交易无效，您可以撤回已授予用户的游戏币。如果用户已经花了游戏币，考虑将游戏币余额设置为负数，并限制应用活动和未来的购买交易，直到游戏币余额为正数。

实施多重警告:考虑对初犯者采取温和措施，比如显示应用内警告。对于累犯，应考虑更严厉的措施。

临时禁止购买:类似于多次警告的实施，您也可以考虑禁止购买交易被作废的用户进行购买，然后再彻底调查作废购买交易的原因。

或者暂时或永久禁止访问你的应用:在恶意活动屡禁不止的极端情况下，你应该考虑暂时或永久禁止对方访问你的应用。

频繁调用作废采购API:当检测到一笔或多笔作废采购交易时，可以考虑更频繁地调用作废采购API，以便在用户使用之前收回已采购的商品。有关作废采购的更多信息，请参见作废采购API文档。

帮助谷歌在欺诈发生之前发现欺诈

实施某些类型欺诈的恶意用户会创建多个谷歌账户和应用内账户来隐藏他们的活动。

在BillingFlowParams的builder中使用setObfuscatedAccountId和setObfuscatedProfileId方法可以帮助Google将Google帐户映射到应用内帐户。

谷歌将使用这些数据来检测可疑行为，并在某些类型的欺诈交易完成之前阻止它们。

对商标和版权侵权行为采取行动

如果您使用远程服务器发快递或管理内容，请确保应用程序可以在用户访问内容时验证未锁定内容的购买状态。这样就可以根据需要撤销使用权，最大限度减少盗版。如果你在Google Play上看到你的内容被重新分发，一定要迅速果断地行动。有关更多详细信息，请参考版权帮助中心的版权常见问题页面。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。