直接从Android设备使用Google Play开发者API

所以，我一直在尝试通过HTTP请求直接在我们的应用程序中使用Google Play Developer API，我们有一个可以与API通信的服务帐户。具体来说，我将使用它进行订阅跟踪（到期时间、购买状态等）

我已经有了访问\u令牌、刷新\u令牌、客户端\u id和客户端\u机密，它们在应用程序中以二进制加密。直接从API获得响应是可能的，我可以说它是有效的，而且我相当确信存储信息的方法足够安全

考虑到这一点，我想知道直接在设备上使用开发者API是否是一个好主意，因为我没有一个强大的后端服务器来保护两者之间的连接。发送和接收的信息是否会被视为敏感信息并应受到完全保护？或者使用HTTPS（开发人员API要求的）就足够了

我还想知道谷歌是否允许在多个设备（我说的是超过10万个设备）中使用开发者API，而不是从一个安全的后端服务器，或者是否完全禁止从多个设备使用开发者API，这违反了他们的政策，并且API必须直接从后端服务器使用

有人直接在设备中使用开发者API HTTP调用吗？如果有，您能告诉我您是否遇到过安全或政策方面的问题吗？或者，你知道使用它已经被禁止了吗

非常感谢您的帮助，谢谢

---

旁注：我知道在这种情况下使用安全的后端服务器是一个更好的选择，但我问这个问题是因为我不能使用它。在回答和评论这个问题之前，请记住这一点，谢谢。

简短的回答是肯定的-你可以直接从设备上使用它，没有任何东西会阻止它在playstore上发布-我已经为推送通知做了这件事，而且它可以工作

我知道每个

client\u id

对某些API有限制，每个项目对可能的

client\u id

也有限制（更多细节）

关于访问令牌，刷新令牌，-不要将其存储在二进制文件中-这些值是不稳定的，因此可能会随着时间的推移而改变-在应用程序运行时获取它们，然后存储

您还可以使用Firebase remote config来存储敏感值（甚至可以使用Firebase云函数来处理API访问—这将更加安全）

access_token、refresh_token、client_id和client_secret-一般来说，所有这些值都不是非常私有或敏感的。有一件事可能是不好的——如果有人能够访问它——他们可能会使用它来访问存储在你谷歌云平台某处的客户数据，或者超过你的API限制，让你为此付费

---

因此，它是安全的，这取决于您想要存储和交换的用户信息，以及您想要使用的API。除了您之外，没有人会告诉您是否应该这样做，因为没有人会分担可能的结果和责任，但从技术角度来看，这样做没有重大障碍。

我喜欢关于使用firebase远程配置或使用firebase云功能的建议。除此之外，如果你以前做过，而且没有引起任何麻烦，我想我也可以应用这样的东西。谢谢你的回答。我会尽快给你奖金。