Python 确保除谷歌钱包外，没有人能够成功回调应用内购买

我计划使用谷歌钱包（应用内购买）向我的基于Web的应用程序出售订阅。Wallet调用我的服务器生成的my（基于JWT）

作为回调实现的一部分，我想加倍确保除了谷歌钱包之外，没有人能够成功地调用回邮处理程序

据我所知，我所能做的就是信任卖家ID和卖家数据（可能包含我客户的信息等），以确保回电是合法的

我目前的计划是加密卖方数据字段，希望只有我的应用程序才能读取该字段中的数据。是否有任何其他最佳实践/想法值得考虑，以确保回发处理程序尽可能安全

该应用程序是一个Python WSGI应用程序，在Apache（当然是SSL）下运行

---

谢谢您的时间。

请注意，回邮JWT已与您的卖家机密签署。只有你和谷歌知道卖家的秘密。您可以通过确保使用卖方机密（更多详细信息见下文）对回发JWT进行签名来验证其真实性

还请注意，回发JWT与服务器生成的订单JWT不同，因为它还包含订单Id。黑客无法在不知道卖家秘密的情况下重新使用订单JWT生成有效的回发JWT

当你收到回邮JWT时，你可以通过验证签名来确保它是由谷歌发送的。JWT由“Header.Claims.Signature”组成。“签名”是使用SHA-256算法生成的，带有卖方机密

有关更多详细信息和代码示例，请参见以下内容：

JWT规范：

Python示例：

JWT解码器：