内置计费相关安全要点

1.计费Server接口保密且Transiction 加密 (SSL)

2.仅允许配套的安全本地组件(通常是第三方付费sdk如支付宝)与计费Server通信,且安全本地组件负责与用户的“显式”交互,同时提供API给Client.

3.Client仅允许调用本地计费安全组件来委托Transiction

4.Response的signature + Nounce(防止重放攻击)

　　这条重要,一般使用第三方计费sdk 返回结果时都要加一个随机数(防止重放攻击)且签名,应用要申请得到sdk的相关钥匙,

　　用来验证response是不是真正的第三方返回的结果.

　　同时注意 要付费才能得到的功能一般要放在另一个加密的server上,付费后从该server获取,而不要放在本地,因为有可能被反汇编破解.