Правильно ли я выполняю действия по проверке подписки пользователя на Android в приложении?

Как оказалось, мои действия были неправильными. Мне потребовались недели, чтобы понять это, и, похоже, это больше нигде не задокументировано. Пожалуйста:

1. Создайте учетную запись веб-приложения в консоли API Google. Поместите любой веб-сайт в качестве «URI перенаправления»; это не имеет значения, так как вы на самом деле не будете его использовать. Вы получите идентификатор клиента и секрет клиента при создании учетной записи.

2. В браузере на вашем компьютере перейдите к https://accounts.google.com/o/oauth2/auth?scope=https://www.googleapis.com/auth/androidpublisher&response_type=code&access_type=offline&redirect_uri=[YOUR REDIRECT URI]&client_id=[YOUR CLIENT ID] и разрешите доступ при появлении запроса.

3. Посмотрите в адресной строке. В конце URI, который вы ввели изначально, будет ваш токен обновления. Похоже на 1/.... Этот «код» понадобится вам на следующем шаге. Токен обновления не имеет срока действия.

4. Преобразуйте этот «код» в «токен обновления», перейдя к https://accounts.google.com/o/oauth2/token?client_id=[YOUR CLIENT ID]&client_secret=[YOUR CLIENT SECRET]&code=[CODE FROM PREVIOUS STEP]&grant_type=authorization_code&redirect_uri=[YOUR REDIRECT URI]. Вы можете сохранить полученное значение прямо в своей программе; он никогда не истекает, если он явно не отозван. (этот шаг вставлен @BrianWhite — см. комментарии) Убедитесь, что вы используете POST. (вставлено Гинтасом)

5. В своем коде отправьте запрос HttpPost на https://accounts.google.com/o/oauth2/token с параметрами BasicNameValuePairs "grant_type","refresh_token", "client_id",[YOUR CLIENT ID], "client_secret",[YOUR CLIENT SECRET], "refresh_token",[YOUR REFRESH TOKEN]. Пример смотрите здесь. Вам нужно будет сделать это в отдельном потоке, возможно, используя AsyncTask. Это вернет JSONObject.

6. Получите токен доступа из возвращенного JSONObject. Пример смотрите здесь. Вам нужно будет получить строку «access_token». Срок действия токена доступа истекает через 1 час.

7. В своем коде отправьте запрос HttpGet на https://www.googleapis.com/androidpublisher/v1/applications/[YOUR APP'S PACKAGE NAME]/subscriptions/[THE ID OF YOUR PUBLISHED SUBSCRIPTION FROM YOUR ANDROID DEVELOPER CONSOLE]/purchases/[THE PURCHASE TOKEN THE USER RECEIVES UPON PURCHASING THE SUBSCRIPTION]?accesstoken="[THE ACCESS TOKEN FROM STEP 4]". Пример смотрите здесь.

Если вы похожи на меня и хотите сделать это на PHP, вот процедура, как это сделать... Благодаря ответу Калины мне потребовалось всего три дня, чтобы понять, как это работает :) .

Вот оно:

1. перейдите в консоль разработчиков Google https://console.developers.google.com/ и создайте веб-приложение. Поместите «developers.google.com/oauthplayground» в качестве «URI перенаправления»; Вы будете использовать его на шаге 2. Вы получите идентификатор клиента и секрет клиента при создании учетной записи. Убедитесь, что у вас добавлен Google Play Android Developer API.

2. перейдите на платформу Google oauth2 https://developers.google.com/oauthplayground/. Этот замечательный инструмент станет вашим лучшим другом на следующие несколько дней. Теперь перейдите в настройки: убедитесь, что установлено значение Использовать собственные учетные данные OAuth. Только после этого вы сможете ввести свой идентификатор клиента и секрет клиента в форму ниже.

3. В Игровая площадка Google oauth2 перейдите к шагу 1 Выбор и авторизация API, заполните область в поле ввода https://www.googleapis.com/auth/androidpublisher. Я не смог найти Google Play Android Developer API в списке, возможно, они добавят через некоторое время. Нажмите АВТОРИЗОВАТЬ API. Выполните следующую авторизацию.

4. На площадке Google oauth2 перейдите к шагу 2 Обмен кодом авторизации для токенов. Если все прошло хорошо, вы увидите код авторизации, начинающийся с /4. Если что-то пошло не так, проверьте сообщение об ошибке справа. Теперь вы нажимаете «обновить токен доступа». Скопируйте токен обновления... он будет начинаться с /1...

5. Теперь вы всегда можете получить токен доступа! вот как:

   $url ="https://accounts.google.com/o/oauth2/token";
   $fields = array(
      "client_id"=>"{your client id}",
      "client_secret"=>"{your client secret}",
      "refresh_token"=>"{your refresh token 1/.....}",
      "grant_type"=>"refresh_token"
   );
   
   $ch = curl_init($url);
   
   //set the url, number of POST vars, POST data
   curl_setopt($ch, CURLOPT_POST,count($fields));
   curl_setopt($ch, CURLOPT_POSTFIELDS, $fields);
   curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
   curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
   curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
   
   //execute post
   $lResponse_json = curl_exec($ch);
   
   //close connection
   curl_close($ch);
   

Теперь у вас есть ТОКЕН ДОСТУПА, ура... JSON будет выглядеть так:

"access_token" : "{the access token}",  "token_type" : "Bearer",  "expires_in" : 3600

Наконец-то вы готовы что-то спросить у Google! Вот как это сделать:

$lAccessToken = "{The access token you got in}" ;
$lPackageNameStr = "{your apps package name com.something.something}";
$lURLStr =  "https://www.googleapis.com/androidpublisher/v1.1/applications/$lPackageNameStr/subscriptions/$pProductIdStr/purchases/$pReceiptStr";

$curl = curl_init($lURLStr);

curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_ANY);
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); 
$curlheader[0] = "Authorization: Bearer " . $lAccessToken;
curl_setopt($curl, CURLOPT_HTTPHEADER, $curlheader);

$json_response = curl_exec($curl);
curl_close($curl);

$responseObj = json_decode($json_response,true);

Возвращаемый JSON будет содержать две метки времени: initiationTimestampMsec и validUntilTimestampMsec — время действия подписки. Оба являются числом миллисекунд, которое нужно добавить к дате 01.01.1970!

Не знаю в 2012, но в 2015 не стоит делать ни один из этих шагов вручную. Мне было очень трудно найти документацию, поэтому я публикую здесь, если это кому-то поможет.

1. Вы должны запрашивать покупки в приложении только с вашего сервера из соображений безопасности, так как в противном случае вы не можете доверять ни одному из двух концов процесса покупки.

Теперь на стороне сервера (я думаю, вы все равно могли бы использовать тот же код из своего приложения, если вам это абсолютно необходимо), включите клиентскую библиотеку google-api-services-androidpublisher в свой проект (см. https://developers.google.com/api-client-library/java/apis/androidpublisher/v1)

Как вы упомянули, вам нужна учетная запись службы с файлом P12 (клиентская библиотека принимает только файл P12).

Затем следующий код будет аутентифицироваться и красиво получать информацию о покупке:

    HttpTransport httpTransport = GoogleNetHttpTransport.newTrustedTransport();
    JsonFactory jsonFactory = new JacksonFactory();

    List<String> scopes = new ArrayList<String>();
    scopes.add(AndroidPublisherScopes.ANDROIDPUBLISHER);

    Credential credential = new GoogleCredential.Builder().setTransport(httpTransport).setJsonFactory(jsonFactory)
            .setServiceAccountId(googleServiceAccountId)
            .setServiceAccountPrivateKeyFromP12File(new File(googleServicePrivateKeyPath))
            .setServiceAccountScopes(scopes).build();
    AndroidPublisher publisher = new AndroidPublisher.Builder(httpTransport, jsonFactory, credential).build();
    AndroidPublisher.Purchases purchases = publisher.purchases();
    final Get request = purchases.get(packageName, productId, token);
    final SubscriptionPurchase purchase = request.execute();

    // Do whatever you want with the purchase bean

Информацию об аутентификации клиента Java можно найти здесь: https://developers.google.com/identity/protocols/OAuth2ServiceAccount

Я могу неправильно понять ваш вопрос, но я не вижу причин, по которым вы должны использовать ссылки, на которые вы ссылаетесь, чтобы заставить работать In-App Billing для приложения Android. Эта страница намного полезнее:

http://developer.android.com/guide/google/play/billing/index.html

Вы можете опробовать демонстрационное приложение, которое они содержат (Подземелья -- http://developer.android.com/guide/google/play/billing/billing_integrate.html#billing-download). При этом используются продукты (разовые покупки), а не подписки, но вы должны иметь возможность модифицировать, чтобы проверить, что вы хотите.

Я думаю, что ключом для вас будет метод restoreTransactions, который они предоставляют в примере, чтобы увидеть, есть ли в учетной записи Google Play какие-либо подписки для вашего приложения:

@Override
public void onRestoreTransactionsResponse(RestoreTransactions request, int responseCode) {
    if (responseCode == BillingVars.OK) {                        
        // Update the shared preferences so that we don't perform a RestoreTransactions again.
        // This is also where you could save any existing subscriptions/purchases the user may have.
        SharedPreferences prefs = getSharedPreferences(my_prefs_file, Context.MODE_PRIVATE);
        SharedPreferences.Editor edit = prefs.edit();
        edit.putBoolean(DB_INITIALIZED, true);
        edit.commit();
    } else {
        Log.e(TAG, "RestoreTransactions error: " + responseCode);
    }
}

Если у кого-то возникли проблемы с принятыми сообщениями, последний шаг (#7), я обнаружил, что ?access_token= работает вместо ?accessToken=

Жаль, что переполнение стека не позволяет мне сделать этот комментарий прямо в потоке...

Поскольку у вас есть веб-служба, которую может вызывать ваше приложение, я бы рекомендовал надежно хранить ваш закрытый ключ на вашем сервере. Вы должны постараться перенести как можно больше вещей внутри приложения на сервисные вызовы, см. эта ссылка. Я реализовал подписку в приложении, но это было до того, как эта часть API вышла. Мне пришлось выполнить собственную регистрацию и проверку безопасности, но похоже, что этот API делает большую часть этого за вас, используя OAuth, хотя похоже, что вы по-прежнему несете ответственность за хранение запроса на подписку/проверку.

Там, где говорится о подписании ваших JWT с помощью существующей библиотеки, они, кажется, предоставляют вам ссылки на библиотеку java, библиотеку Python и библиотеку PHP - это зависит от того, на чем написан ваш веб-сервис или серверный компонент (у меня это C #, поэтому я использую RSACryptoServiceProvider) для проверки подписанных покупок. Они используют объекты JSON для фактической передачи данных.