ios - 防止重放攻击 appStoreReceiptURL 应用收据

Question

我们有一个服务器端服务，我们只想向付费 iOS 应用程序的有效用户提供该服务。 (请注意，这是一款付费 iOS 应用程序，而不是带有 IAP 的免费应用程序。)

当我们使用appStoreReceiptURL时要检查沙盒应用程序收据并将其发送到我们的服务器端，我们会看到如下收据:

{
  "receipt_type": "ProductionSandbox",
  "adam_id": 0,
  "app_item_id": 0,
  "bundle_id": "com.example.myapp",
  "application_version": "1.1.1",
  "download_id": 0,
  "version_external_identifier": 0,
  "receipt_creation_date": "2018-04-16 23:53:58 Etc/GMT",
  "receipt_creation_date_ms": "1523922838000",
  "receipt_creation_date_pst": "2018-04-16 16:53:58 America/Los_Angeles",
  "request_date": "2018-04-17 03:25:42 Etc/GMT",
  "request_date_ms": "1523935542798",
  "request_date_pst": "2018-04-16 20:25:42 America/Los_Angeles",
  "original_purchase_date": "2013-08-01 07:00:00 Etc/GMT",
  "original_purchase_date_ms": "1375340400000",
  "original_purchase_date_pst": "2013-08-01 00:00:00 America/Los_Angeles",
  "original_application_version": "1.0",
  "in_app": []
}

我担心此收据会遭到重放攻击。在重放攻击中，一个设备购买应用程序并提交有效收据，但第二个未经授权的设备存储并传输第一个收据的精确副本。由于第一张收据是由 Apple 签署的，因此副本显得有效。

理想情况下，我们可以通过观察收据中的唯一标识符来击败重放攻击；如果有人尝试重新传输相同的收据 ID，我们就会知道它是重复的。正是出于这个原因，IAP 收据包含 transaction_identifier 字段。

但我们似乎没有唯一的标识符可以用来识别付费应用收据的重放攻击。黑客可以从不同的设备将此收据重新传输给我们，我们将无法知道它是重复的收据还是新的原始收据。

话虽如此，我的眼睛被沙盒收据中 0 的 _id 数字所吸引:adam_id、app_item_id 和 download_id。我们可以使用其中任何一个来识别重复的收据吗？或者还有其他更好的方法来处理这个问题吗？

Answer 1

无法检测付费应用的重复收据。 adam_id、app_item_id 和 download_id 未记录在案，因此开发人员不能依赖它们来实现安全目的。这与 IAP 收据不同，IAP 收据包含可进行重复数据删除的 transaction_identifier。

不过，有一个可能的解决方法。您可以向用户提供 0 美元(免费)的非消耗性 IAP，并要求用户“购买”它才能访问服务器端功能。由于它是非消耗性 IAP，因此每个付费应用用户最多只能购买一次。

用户同意免费“购买”并登录 App Store 来访问它有点麻烦，但一旦他们这样做，他们将拥有一个与付费应用收据绑定(bind)的 IAP。免费的 IAP 收据包含交易标识符；服务器可以使用交易ID来消除重复的购买。