IAP Receipt Validation on iOS 学习总结

最新推荐文章于 2024-05-19 09:43:17 发布
最新推荐文章于 2024-05-19 09:43:17 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: iOS-分析研究 文章标签: IAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wwmusic/article/details/8939820
版权
本文是对IAP(应用内购买)在iOS上的收据验证的总结和学习,包括IAP的特点、iOS5及以下版本的漏洞以及iOS6的修复策略。在iOS6中,通过特定的代码清单和收据验证方法(如base64转换和JSON交互)可以有效缓解漏洞,确保产品安全。同时,文中提到验证成功时,从App Store服务器返回的status值为0表示验证正确。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前看 http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_ReceiptValidation/_index.html   进行的归纳总结,还不是很透彻,需要再次深入学习。

一、IAP特点

1.IAP使得用户无需离开软件,便可无缝升级软件功能或扩充内容。 
2. IAP支持付费后下载,所以可以有效的防止盗版。 
3. 开发者无需额外推出试玩版本游戏,直接在免费版本中加入IAP,允许用户付费升级即可,节约开发成本。 
4. 开发者可以无限推出某个App的内容扩展,同时保证持续的收入。 
5. IAP的出现形式多种多样,多见于:打开某功能(如Push);下载新游戏地图;解锁软件中的新内容等等。 
6. IAP购买符合AppStore基本付费策略,玩家一次付款后,可以无限制多次下载IAP内容,不会重复扣费。 
7. 购买IAP内容所使用的账户必须和下载软件本体的账户一致。

8. 和 App Store 中同样的商业条款。您将收到您的程序中付款项价格的 70%,按月付款 — 没有额外的信用卡费用。


二、IAP漏洞(iOS5及以下)

使用者可以透过 In-App Proxy 绕过App 的 IAP机制,让App 误以为已经进行付費进而免费享受付費內容,由此给开发者造成损失。


三、漏洞修复方案(iOS6)

通过苹果的收据验证系统建立保护机制。
1、   App通过连接个人服务器进行验证的影响
   当连接服务时,可能会遭到相思的攻击。
 使用“加密技术”来确保App是连接到个人服务器,并且个人服务器是与App Store服务器相连。
(可利用“缓解策略”作为起点)
2、   App通过连接到App Store服务器执行验证的影响
  若App从设备直接连接到App Store服务器,那么App会受到这个漏洞的影响。解决方案就是检查如下的信息:
1) 用于连接到App Store服务器的SSL证书是一个EV证书。
2) 从验证返回的信息和SKPayment对象的信息相符合。
3) 收据具有一个有效的签名。
4) 新的事务有一个独一无二的事务ID。
3、如何验证已完成的事务
1)消耗:
若以保存了收据(无论是在设备还是在服务器中),执行你的“缓解策略”之后再次验证收据。若你未保存收据,则无法验证以前的事务,无法采取任何行动。
2)非自耗:
抛开当前的收据,执行恢复操作并验证新的收据。避免在此过程中,重新下载的内容已经在设备上。

4、代码清单(缓解策略)

注意:此清单中使用的如下符号——

kSecTrustInfoExtendedValidationKey 
SecTrustCopyInfo
并非公共API。App仅在此目的时被允许使用它们。

将代码加入到你的项目中:

1)下载压缩文件。
2) 项目中加入以下文件——
 VerificationController.h   VerificationController.m 
3)连接 Securityframework
4)提供了一个Base64的编码和解码器,当验证成功时执行。


四、产品防护

https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/StoreKitGuide/VerifyingStoreReceipts/VerifyingStoreReceipts.html
http://www.himigame.com/iphone-cocos2d/673.html
1、IAP Cracker插件
 App Store的付流程其方式是当用费产购买IAP Cracker返回一个购买成功的消息无需白了post数据App Store都没有!),然后我们App收到假的交易成功的消息直接加装加各种….
 
2、IAP Cracker(下载 json_base.rar
在付费代码中加入进一步的验证判断:
  
- (void) paymentQueue:(SKPaymentQueue*) queueupdatedTransactions: (NSArray *)transactions//交易结果
{
    for (SKPaymentTransaction *transaction in transactions)
    {
        switch (transaction.transactionState)
        {
            case SKPaymentTransactionStatePurchased://交易完成
                 if([self putStringToItunes:transaction.transactionReceipt]){
                     //这里给用户添加钱阿,装备阿什么的
                 }
                   break;
             ......代码省略
         }
     }
}

putStringToItunes函数

1)首先我们将传入的收据data类型变量进行base64转换成string类型

2)然后将此收据以json的形式发送给appstore进行验证!这里注意!一定要以json形式发送,否则appstore server端不识别!

3)最后再次利用jsonappstore server返回的字段json数据行解析只需要解析出 status keyvalue即可

appstore验证收据正确解析出来的 statuskeyvalue0()

其他文章参考:

http://www.himigame.com/iphone-cocos2d/673.html




IAP支付之三】苹果IAP安全支付与防范 receipt收据验证
Teng's world
07-23 6万+
这里网上的朋友已经介绍的很详细了,具体的链接已经无法找到了。 这里主要说几点本人在开发中遇到的问题: 1.漏单必须要处理,玩家花RMB购买的东西却丢失了,是绝对不能容忍的。所谓的漏单就是玩家已经正常付费,却没有拿到该拿的道具。 解决:只要购买成功,便将购买记录(receipt等账单信息)保存下来,然后将账单信息传送给我们游戏服务器,游戏服务器获得账单后,和苹果服务器验
【Unity】ios平台IAP内购和沙箱测试流程详解(开发中遇到的坑)
天生爱赞美的博客
05-31 1万+
Unity iOS内购 思路: Unity调用iOS内购代码实现 效果图: 重要提示: 测试一定要用沙盒账号,否则无效! 流程 这里就不重复写了,直接上截图  OC代码: IAPInterface(主要是实现Unity跟OC的IAP代码的一个交互作用,等于是一个中间桥梁) #import @interface IAPInt
IAPReceipt 做验证
weixin_30251587的博客
10-01 370
苹果官方文档对 store receipt 的介绍,根据我在sandbox 下面做的测试,基本符合~ 我也觉得挺奇怪的,叫工作室负责内购这块的伙计把 iap 防护做一做, 他说 receipt 的键是变动的,然后就没弄了,当时我也没太在意。 但后来我一想这么马虎了事真心不行,国内破解猖獗,游戏被破解的话不就相当于撒钱么? 而且如果不做处理,当前的 iap free 十有八九是秒内购压力一点...
IAP支付
陆多多的专栏
02-15 3139
一、IAP支付流程1.应用从服务端获取ProductId2.应用根据ProductId从App Store获取商品信息并展示3.用户选中并点击后,应用向App Store发送payment请求,App Store处理该请求并返回transaction4.应用从transaction中获取receipt,并发送给服务端。5.服务端记录receipt并发送receipt到App Store校验结果是否合
验证IAP返回receipt结果demo
09-16
验证IAP返回receipt结果demo
iOS内购三:Receipt
了凡
09-10 2397
iOS内购三:Receipt 可参考: Validating Receipts Locally 需验证receipt,可以在本地验证,也可以在服务端验证 本地验证,涉及到security和加密,比较复杂 而服务端验证相对而言简单些 收到transaction后,将receipt发送到自己的服务器 自己的服务器连接apple的服务器,做解密和验证 apple将结果发送给服务器,服务器再发给你 参考:Choosing a Receipt Validation Technique Local -
Unity自带IAP插件使用(googleplay)
N的专栏
08-31 3504
Unity自带IAP插件使用(googleplay) https://blog.youkuaiyun.com/ar__ha/article/details/64439872   Unity Services里的Unity IAP对于IOS和GooglePlay的支付用这个插件就足够了。 Unity官方文档   1.集成插件 Window-Services(Ct...
IAPHelper实现iOS应用内购买与收据验证完整指南
1. 应用内购买(In-App Purchase, IAP): 这是一种允许开发者在自己的应用程序中销售产品或服务的商业模式。用户可以通过应用内的渠道购买数字商品或服务,这些购买通常在应用内通过虚拟货币完成。 2. 收据验证...
TPInAppReceipt库:轻松本地验证iOS应用内购买收据
ios”,“osx”,“cocoapods”,“payment”,“pkcs7”,“asn1”,“in-app-receipt”,“receipt”,“purchase”,“catalyst”,“in-app-purchase”,“receipt-verification”,“receipt-validation”,...
TPInAppReceipt:本地读取和验证应用购买收据
02-02
platform :ios , '9.0' target 'YOUR_TARGET' do use_frameworks! pod 'TPInAppReceipt' end 然后,运行以下命令: $ pod install 在任何快捷文件你想使用TPInAppReceipt,导入与框架import TPInAppReceipt 。...
苹果IAP receipt验单较佳实践
lzf的博客
02-24 4371
前言 IAP支付的坑太多,这里写一些高级点的坑。 一、请求商品 下面是请求商品的代码: - (void)validateProductIdentifier:(NSArray *)productIdentifier { SKProductsRequest *productRequest = [[SKProductsRequest alloc] initWithProductIdentifiers:[NSSet setWithArray:productIdentifier]]; s
系统验证服务器+ios,iOS iap receipt 服务器校验
weixin_42134144的博客
08-10 889
import jsonimport requestsSAND_BOX_VERIFY_URL = 'https://sandbox.itunes.apple.com/verifyReceipt'VERIFY_URL = 'https://buy.itunes.apple.com/verifyReceipt'# /**# * 服务器二次验证代码# * 21000 ...
Apple IAP苹果应用内支付验证receipt
qdulgh的专栏
06-04 7295
https://sandbox.itunes.apple.com/verifyReceipt POST Body: {"receipt-data":"MIKkowYJKoZIhvcNAQcCoIKklDCCpJACAQExCzAJBgUrDgMCGgUAMIKURAYJKoZIhvcNAQcBoIKUNQSClDExgpQtMAoCAQgCAQEEAhYAMAoCARQCAQEEAgwAMA
关于苹果内购(IAP)的一些问题以及那些坑
热门推荐
天下皆白唯我独黑的博客
01-09 5万+
IAP,无法连接到iTunes store ,RMStore,SKErrorUnknown,Error Domain=com.alamofire.error.serialization.response Code=-1016 "Request failed: unacceptable content-type: text/html"
IAP(In App Purchase)流程总结
 ideaOS^(BOOL coding)
02-21 1万+
最近用到IAP内置购买,阅读官方文档,在网上找了些资料,在这里作下整理,以便日后查找和修改,主要流程方向确定,文档和相关转载内容截图不一一指出,google一堆。 1.查找官方文档,两张目录截图,对主要流程大致了解:                               官方文档: https://developer.apple.com/library/mac/#documentat
iOS应用内支付(IAP)详解
操作猛如虎的博客
06-28 1万+
iOS开发中如果涉及到虚拟物品的购买,就需要使用IAP服务,我们今天来看看如何实现。 在实现代码之前我们先做一些准备工作,一步步来看。 1、IAP流程 IAP流程分为两种,一种是直接使用Apple的服务器进行购买和验证,另一种就是自己假设服务器进行验证。由于国内网络连接Apple服务器验证非常慢,而且也为了防止黑客伪造购买凭证,通用做法是自己架设服务器进行验证。 下面我们通过图来看看...
掌握你的应用交易验证:store-receipt-validator 工具详解
最新发布
gitblog_00036的博客
05-19 502
掌握你的应用交易验证:store-receipt-validator 工具详解 store-receipt-validator PHP receipt validator for Apple iTunes, Google Play and Amazon App Store ...
[IOS Metal] 运行错误 IOAF code 怎么办?
kross
02-02 1015
当 Shader 有错误的时候,Xcode 的输出窗口会在每一帧都输出 IOAF code 之类的错误, 表示一个数字,比如 IOAF code 4、IOAF code 11 等等。 此时 Xcode 没有给出其他的任何信息,导致我们无法去定位问题。 解决的办法也很简单,点击 Edit Scheme,在 Diagnostics 子tab中,最底下有一个 Shader Validation,将其勾选上。重新运行即可。 我遇到这个问题的时候是 IOAF code 4。勾选上 Shader Validation
掌握iOS应用内购买:IAP示例详解
iOS应用内购买(In-App Purchase,简称IAP)是苹果公司提供的一项服务,允许开发者在iOS应用程序内直接销售数字内容和功能。这些内容和功能被统称为应用内购买项目。开发者可以提供各种类型的IAP,包括但不限于: 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值