Wo hin mit In-App-Kauf-Inhalten?

[wwwwwwwwwwww]

Hey, ich will eine App entwickeln, in der Nutzer Inhalte per In-App-Kauf kaufen können. Diese sollen nicht in der App gespeichert sondern nach dem Kauf heruntergeladen werden.

Hat einer von euch schon Erfahrungen damit gemacht?
Wo hostet ihr eure In-App-Kauf Inhalte?
Gibt es schon fertige Skripts, die man auf den eigenen Server/Webspace laden kann und die das alles regeln?

 

[swordi]

naja da fehlen wohl ein paar infos.

was willst nachladen? ich lade in einigen apps nach dem kauf zb eine zip file mit dem content runter. wo das dann liegt ist wohl ziemlich egal. script brauchst dazu auch keines.

es wäre halt von vorteil den kauf noch am backend bei google zu verifizieren. damit man noch etwas sicherer vor betrügereien ist. dazu brauchst natürlich ein script, aber ich denke google hat da schon was vorbereitet dafür.

 

[wwwwwwwwwwww]

Ja, bei mir handelt es sich auch um zip-files. Mit Script meinte ich halt, ein Script, dass testet ob der Inhalt wirklich gekauft wurde und möglicherweise verhindert, dass jemand alle 5 Sekunden den Inhalt neu runterlädt, damit der Traffic nicht ins unendliche steigt und andere Nutzer auch noch abgearbeitet werden können.
Die Frage war halt sonst auch wo speichert ihr eure Dateien, also bei welchem Hoster. Es muss ja wo sein wo man sicher sein kann, dass es praktisch immer erreichbar ist und wo es keine Probleme gibt wenn mal sehr viele gleichzeitig downloaden.

 

[swordi]

Naja erreichbar sind die größeren Hoster sowieso zu 99%. Das sollte kein Problem sein

und wenn du kostenpflichtige Inhalte hast, dann wirds wohl sehr selten der Fall sein, dass mehrere User gleichzeitig dafür zahlen und die Inhalte laden.

Ich weiß zwar nicht welche Inhalte du hast, aber es wäre schon sehr krass, wenn du nur 10 User hast, die gleichzeitig kaufen und die Inhalte laden. Mal davon abgesehen sollten 10 Downloads parallel für jeden Hoster kein Thema sein.

 

[wwwwwwwwwwww]

Bei einer Millionen Installationen denk ich können schon mal mehr als 10 zustande kommen.

 

[reneph]

Und du hast eine Million (aktive) Installationen? Sorry, wenn dem so sei, dann hättest du mehr Know-How und müsstest wohl sowas hier nicht nachfragen?!

Wie stellst du dir ein Script vor, was testet, ob ein User das wirklich gekauft hat? Ich mein, der Server weiß ja nicht, was über Google Play gekauft wurde.

Schonmal überlegt die Google Services dazu zu nutzen? APK Expansion Files | Android Developers

Darüber hinaus: wie groß sind denn die Zips (selbe Frage gilt aus reinem Interesse auch für swordi)?

 

[swordi]

die expansion files sind nicht gut glaub ich. die werden ja direkt beim app installieren mit downgeloaded.

wenn du 1 million installationen hast und viele verkäufe, dann stell dir bitte jemanden an, der die problematik für dich löst. kannst mir gerne ne pm dazu schicken

 

[wwwwwwwwwwww]

Und du hast eine Million (aktive) Installationen? Sorry, wenn dem so sei, dann hättest du mehr Know-How und müsstest wohl sowas hier nicht nachfragen?!

Kreativität und gutes Marketing müssen nicht bedeuten, dass man viel Ahnung von Server Technologie hat. Zudem ich studiere Informatik, nur lernt man hier eben hauptsächlich theoretische Dinge wie Algorithmen.

Wie stellst du dir ein Script vor, was testet, ob ein User das wirklich gekauft hat? Ich mein, der Server weiß ja nicht, was über Google Play gekauft wurde.

Es könnte ja sein, dass die App einen Token von Google anfordern kann den sie dann an meinen Server und schickt, der damit bei Google wieder überprüft ob dieser gültig ist. So ähnlich geht es bei Facebook.

Schonmal überlegt die Google Services dazu zu nutzen? APK Expansion Files | Android Developers

Die Idee hatte ich auch schon, aber wie swordi schon geschrieben hat werden die bei der Installation der App heruntergeladen.

Darüber hinaus: wie groß sind denn die Zips (selbe Frage gilt aus reinem Interesse auch für swordi)?

Ca 10MB.

 

[swordi]

Ja Google bietet eine Api an um serverseitig zu überprüfen ob die Bestellnummer, wirklich valide ist. Das sollte man auf jeden Fall nutzen, wenn man 10000000 Installationen hat

Meine zips sind unterschiedlich - können aber auch über 100 MB groß sein. Das spielt nicht wirklich eine Rolle.

 

[wwwwwwwwwwww]

Ja Google bietet eine Api an um serverseitig zu überprüfen ob die Bestellnummer, wirklich valide ist.

Gut, dann werde ich mir die mal anschauen.

Hast du was in deinen AGBs von wegen Erreichbarkeit? Also hast du darin stehen, dass du nicht garantierst, dass die Inhalte immer verfügbar sind? Weil es kann ja doch mal passieren, dass auch bei den großen Hostern die Server für eine kurze Zeit nicht erreichbar sind und du wirst die Inhalte ja wahrscheinlich auch nicht hosten bis du ins Gras beist.

EDIT: Hat jemand von euch schon https://developers.google.com/storage/docs/overview benutzt? Das scheint ja alles bereitzustellen was ich benötige.

 

[reneph]

Ja Google bietet eine Api an um serverseitig zu überprüfen ob die Bestellnummer, wirklich valide ist. Das sollte man auf jeden Fall nutzen, wenn man 10000000 Installationen hat

Huch das gibts tatsächlich von einem externen Server aus? Könntest du mal dazu bitte auf die API verlinken?

 

[swordi]

https://developer.android.com/google/play/billing/gp-purchase-status-api.html


Bitte

 

[markus.tullius]

Meine Erfahrung mit größeren Spiele ist, dass meistens die Zusatzinhalte schon in der App enthalten sind. Die werden dann nur freigeschaltet. Das ist wesentlich einfacher, als nachträglich Code einzubinden.

Zwar können Cracks die Inhalte mit ein bisschen Aufwand freischalten, aber bei 1.000.000 Downloads fällt das nicht ins Gewicht. Es gibt trotzdem genügend Leute, die die Inhalte kaufen.

Außerdem ist das Herunterladen von Code ein Sicherheitsrisiko. Wenn es jemand schafft Schadcode einzuschleusen (bei der Menge von Downloads wird es langsam interessant), dann sinkt schnell die Bewertung. Und im schlimmsten Fall schließt Google den Account.
(Bei Apple wirst du schon Probleme bekommen, die App überhaupt in den Store zu bekommen.)

 

[wwwwwwwwwwww]

Außerdem ist das Herunterladen von Code ein Sicherheitsrisiko. Wenn es jemand schafft Schadcode einzuschleusen (bei der Menge von Downloads wird es langsam interessant), dann sinkt schnell die Bewertung. Und im schlimmsten Fall schließt Google den Account.
(Bei Apple wirst du schon Probleme bekommen, die App überhaupt in den Store zu bekommen.)

Apple hat soviel ich weis einen Service der extra dafür da ist, da kannst du die Inhalte direkt bei denen auf den Server laden und über deren ihre API runterladen.

An das mit dem Sicherheitsrisiko auf Benutzerseite hatte ich davor nicht gedacht. Es sollte bei mir kein Code heruntergeladen werden, nur Medien (Grafiken und Sounds). Das war auch der Grund, weshalb ich auf die Idee gekommen bin die Zusatzinhalte nicht direkt in die App zu machen. Da sie sonst immer größer wird.

EDIT: Wenn man jetzt nur mal die Nutzersicherheit betrachtet reicht eine einfache HTTPS-Connection über die die Dateien heruntergeladen werden dann wohl nicht aus, oder?

 

[ui_3k1]

EDIT: Wenn man jetzt nur mal die Nutzersicherheit betrachtet reicht eine einfache HTTPS-Connection über die die Dateien heruntergeladen werden dann wohl nicht aus, oder?

Naja.. HTTPS bedeutet ja nur, dass die Daten verschlüsselt (abhörsicher) sind. Ob deine Inhalte (Medien) nun sicher von A nach B übertragen werden, wird wohl den meisten Nutzern egal sein. Wenn überhaupt, könnte es dich, bzw. die Urheber stören, dass diese Inhalte ohne Verschlüsselung übertragen werden.

Ich glaube eher, dass Markus meinte, dass deine Daten als solche keinen Schadcode enthalten. Sprich dein Content wird, auf welche Weise auch immer, modifiziert und nistet sich dann auf dem Gerät des nichtsahnenden Nutzer ein.

Ggf kann der Hoster eine Schadwareprüfung übernehmen. (weiß ich nicht)
Oder du sorgst mittels Hashes selbst dafür, dass die Anwendung erkennt, wenn Inhalte modifiziert wurden. Wobei nicht vergessen werden darf, dass von der App erkannte Schadeware auch als solche behandelt werden muss (ggf. automatische Mitteilung an den Administrator und Löschung des Inhalts auf dem Server).
Diese Vorgehensweise kann aber auch bedeuteten, dass jeder "neu verfügbare" Content auf dem Server ein Update der App auf dem Gerät nach sich zieht, der dann erwähnten Hash einpflegt. Das wäre wohl so mit eine der etwas sichereren Lösungen.
Alternativ kannst du auch eine statische Prüfung durchführen, das heißt jeder Content wird mittels gleicher Logik geprüft.