个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我已经实现了对 SKProducts 的购买,并且从应用商店进行了验证,但我不确定此验证的目的是什么。苹果文档说:
The receipt for an application or in-app purchase is a record of the sale of the application and of any in-app purchases made from within the application. You can add receipt validation code to your application to prevent unauthorized copies of your application from running.
这是否意味着在不验证应用内购买收据的情况下无法声明应用内购买的价格?还是与应用的真实性有关?
最佳答案
@Paulw11 正确地评论道,“坏人可能会侵入您的应用程序或他们的设备以欺诈性地进行应用程序内购买”,但让我详细说明一下。
欺诈性购买的最简单示例可以在用户安装了 Cydia 的任何越狱 iOS 设备上找到。应用名为 iAP Cracker .这让用户可以绕过 iTunes 应用商店进行应用内购买,从而免费获得购买。
iAP Cracker 假设您的应用未验证收据,因此提供虚假收据代替真实收据。
有两种验证收据的方法:本地和远程。
Locally validating收据可以确保 GUID、bundleId 和 opaque value苹果提供的收据与 signature 匹配也随收据一起提供。
欺诈性购买通常采用重复攻击,这些攻击要么使用来自您应用的有效收据,要么使用其他用户在其他日期的有效收据。在这种情况下,bundleId 将匹配,但 GUID 将不匹配。或者来自完全不同的应用程序的收据,例如,我经常看到来自愤怒的小鸟但与我的应用程序无关的收据。因此在这些情况下,bundleId 和 GUID 不正确,因此签名将不匹配。
收据也使用 Apple 的私有(private) RSA key 签名,这意味着如果使用生成的收据进行攻击,PKCS #7 容器签名将无效。
至于Validating receipts remotely ,您可以将 Base64 编码的收据发送到 Apple 的服务器进行验证。您很可能会在服务器端环境中执行此操作。当 Apple 收到收据时,它将验证 PKCS #7 和 bundleId,如果 bundleId 不是您自己的,它将失败,但重要的是要注意它没有验证 GUID 的能力。
然而,远程验证确实具有提供额外信息的额外好处,例如为自动续订订阅购买进行的续订和取消,如果您需要将订阅与您自己的用户相关联,这将很方便数据库。
为了获得最佳安全性,明智的做法是在本地和远程建立收据验证。黑客会入侵,他们将来可能会找到绕过本地验证的方法,但远程验证的攻击媒介仍然很小。
不要低估欺诈性购买发生的频率,我发现 iOS 上的欺诈率高达 30%,Android 上高达 80%。 资料来源:我是一名应用内购买顾问。
关于ios - 验证应用内购买收据的目的是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35294843/
29
4
0
关闭。这个问题是opinion-based .它目前不接受答案。 想改善这个问题吗?更新问题,以便可以通过 editing this post 用事实和引文回答问题. 6年前关闭。 Improve t
我们有一个专有的销售系统,我们已经使用了一段时间了。最近我们添加了“购买”方面,以便我们可以比较匹配产品的平均购买/销售价格以及查看库存状况。 在 MySQL 中,我有 2 个表:tblPurchas
在查看 Paypal 文档以寻找针对这种情况的解决方案后,我一头雾水。我想要的是一种让购物车订阅(定期付款)和购买商品的方法。有没有一种方法可以解决这个问题,或者我是否必须做一些自定义的事情(如果我使
我想知道是否可以使用youtube api获取可购买或可租借的电影列表。当我转到youtube网站并登录到Google帐户时,我可以看到要购买的电影及其价格。 我想在我的应用程序(http://www
我使用 JavaScript 购买 SDK 和 Node.js。 const fetch = require('node-fetch'); const shopify = require('shopi
我购买了三个不同期限的不同订阅。我已经配置了测试账户,我可以进行测试购买。对于这些购买,谷歌不向我收费,但它们看起来非常像真实的。购买成功后,应用内结算会向我发送一些有关我的购买的数据,例如 pack
我目前正在实现应用内购买,并且刚刚阅读了一些帖子,说需要恢复购买按钮,否则苹果将拒绝应用。 我不想在我的 UI 设计中添加第二个按钮。 所以我的问题是... 有没有办法检查用户之前是否进行过应用内购买
我的应用中有多个项目。我有两个设备。如果我在这些设备中的第一个上购买商品,然后尝试在另一个设备上购买相同的商品,我不能。(Google play intent 显示消息 - 商品已拥有!然后它崩溃了.
有没有办法检测何时通过应用商店为您的应用进行了购买? 检测应用内购买似乎很容易(即我们的服务器可以收到通知),但是对于直接购买有没有办法做到这一点? 如果没有,是否有一些用户的唯一标识符(例如购买时通
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the he
我计划在用户使用该应用程序成功扫描二维码时为应用内购买提供折扣。我知道无法为现有商品提供折扣。我打算以折扣价添加另一件商品。有没有人以前有过使用这种方法的经验? 提前致谢 最佳答案 没有办法直接这样做
我很好奇其他商店在基础应用程序框架方面做了什么?我将应用程序框架视为能够提供额外或扩展的功能以提高基于它构建的应用程序的质量。 有各种开箱即用的框架,例如 Spring(或 Spring.NET)等。
我们正在开发一款使用非续订订阅 IAP 模型的应用。在沙盒中测试订阅购买流程时,我们看到弹出两 strip 有“购买”按钮的消息。 显示第一条消息和产品信息:“您想以 xx.xx 美元购买一个订阅吗?
我的老板购买了 Microsoft 365,它包含三种产品。他现在要求我设计一个管理系统,比如员工自助服务门户。我特此寻求有关从哪里开始或使用哪种产品的建议,因为我对此很陌生。 我尝试了一些研究,发现
我的老板购买了 Microsoft 365,它包含三种产品。他现在要求我设计一个管理系统,比如员工自助服务门户。我特此寻求有关从哪里开始或使用哪种产品的建议,因为我对此很陌生。 我尝试了一些研究,发现
我刚刚了解了IAP Cracker的存在,并试图找出在我的应用中验证IAP购买的最佳方法。 我无法确定的是IAP Cracker是否可以处理“消耗性”商品。如果没有,我没有什么可担心的。 这是维护/验
我正在编写一个允许应用内购买的简单应用。我已经使用 SKU 代码 android.test.purchased 进行了测试,一切正常。 我进入我的 google play 控制台,创建了一个应用程序,
我即将启动一个应用程序,该应用程序将包含多个“应用程序内购买”。 我想做的是有一种方法可以提供少量免费的“应用内购买”来选择评论家等人。 在 apple 框架内有没有办法做到这一点,如果没有,我可以采
所以我在这个网站上工作,用户可以在该网站上发布他们的商品,其他用户可以将一些商品添加到他们的购物车并在线购买。 我考虑的流程是这样的: 商家发布商品及其信用卡/ Paypal 信息。 买家将(来自不同
我对这个主题进行了广泛的研究,但我的知识仍然很模糊。我正在寻找一个简单站点的基本 DV,但我看到每个在线 SSL 都具有三个级别, Root->Intermidiate (充当 Root 的代理)和我
我是一名优秀的程序员,十分优秀!