使用php OpenSSL进行Android应用内购买服务器签名验证

为了遵循应用内购买的一些安全准则，请点击此处：http://developer.android.com/guide/market/billing/billing_best_practices.html

我正在尝试在服务器上进行签名验证，而不是在应用程序本身中。理想情况下，我想使用php openssl库，看起来像这样的代码应该可以工作：

<?php
// $data and $signature are assumed to contain the data and the signature

// fetch public key from certificate and ready it
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);

// state whether signature is okay or not
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1) {
    echo "good";
} elseif ($ok == 0) {
    echo "bad";
} else {
    echo "ugly, error checking signature";
}
// free the key from memory
openssl_free_key($pubkeyid);
?>

我将签名替换为应用购买捆绑包中的 base64 解码签名字符串，并使用同一捆绑包中的数据。公钥需要采用PEM格式，我添加了 BEGIN 和 END 令牌以及一些换行符。

我的问题是，我无法让这个PHP代码成功验证数据/签名，我不知道需要改变什么才能使其正常工作。

如果我使用openssl，创建一个私钥和公钥，使用sha1为相同的数据创建签名，并通过上面的php代码运行它，它可以正常工作并成功验证。

以下是我使用OpenSSL的方式：

openssl genrsa -out private.pem
openssl rsa -in private.pem -pubout -out public.pem

然后我使用private.pem和一些php代码来生成签名：

...
openssl_sign($data, $signature, $pkeyid);
...

有没有人有任何工作示例php代码与服务器端验证应用内签名？

我可以运行示例应用程序中的等效java代码，这似乎工作正常，但如果可能的话，我想直接使用php。