Так как она удобочитаема для человека, я считаю, что мы можем публично делиться SKU (например, в ссылках).
Да, вы можете использовать их где угодно, даже если продукт доступен только тем, кто его купил или имеет разрешение на его просмотр.
Как вы говорите, это публично, поэтому не является секретом и не имеет никаких полномочий для авторизации.
В этом случае мы что-нибудь хакеры пропускаем или хешируем SKU?
Нет необходимости хэшировать SKU, если это общедоступная информация, которая сама по себе не может позволить хакеру получить доступ к приобретенному продукту. Хакер должен иметь доступ к токену покупки и, возможно, к другим учетным данным, чтобы иметь возможность доступа к продукту так же, как тот, кто его приобрел.
Прежде чем я уйду, пожалуйста, позвольте мне быстро предупредить ...
Это может показаться очевидным, но жетон покупки должен рассматриваться как секрет , поэтому он должен всегда храниться в безопасности, но это не простая задача достичь.
Имейте в виду, что любые токены, имеющиеся у вас в исходном коде приложения, легко извлекаются с помощью методов обратного инжиниринга, как я отмечаю в этом посте :
Да, и я уже упоминал, что в случае мобильных приложений их двоичные файлы могут быть подвергнуты обратному проектированию с помощью таких инструментов, как Mobile Security Framework, несмотря на некоторые методы, которые вы, возможно, использовали для защиты секретов в своем мобильном приложении во время выполнения или для скрыть их от обратного проектирования из вашего бинарного файла?
Как я отмечаю в этом сообщении в блоге, более продвинутые пользователи могут также использовать методы обратного инжиниринга для извлечения токенов во время выполнения с помощью таких инструментов, как Mobile Security Framework . Другие инструменты можно найти, выполнив поиск в Google для dynamic instrumentation tools.