【iOS-iap防護】驗證使用者付費收據！拒絕iap Cracker！！

對于iOS的應用安全這塊主要有兩塊是我們開發者可以避免的，一個是存儲資料加密，這個在上一篇文章Himi介紹了base64加密算法；另外一個就是付費産品防護！那麼本篇Himi來分享如何防護越獄使用者的iap Cracker！

對于iap Cracker這個插件，Himi簡單介紹下！

iap Cracker可以說是iOS越獄使用者的終極利器阿，當今app Store的所有内置收費的遊戲，基本使用此插件進行秒購買無壓力！（對于那些收費下載下傳的遊戲，對于越獄使用者來說，安裝個XX助手<你懂得～>就可以免費體驗app store的所有遊戲，不管你下載下傳收費還是内置收費！）

iap Cracker能繞過appstore的付費流程，其方式是當使用者點選付費産品進行購買後，iap Cracker模拟傳回一個購買成功的消息（無需聯網，說白了，連post 資料給App store都沒有！），然後我們應用中收到這個“假的”交易成功的消息直接給使用者加錢，加裝備，加各種….

OK，對于iap Cracker就不再多介紹了，下面Himi來分享如何防護iap Cracker吧；

對于越獄使用者使用付費破解插件進行付費這個問題，其實Apple并沒有不管，而是已經在文檔中清晰的說明，隻是很多童鞋并沒有發現，如下截圖：

<a href="http://www.himigame.com/wp-content/uploads/2012/03/222.png"></a>

apple提示開發者付費要進行驗證付費收據！ 原文apple dev官方文檔連接配接：

<a href="https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/StoreKitGuide/VerifyingStoreReceipts/VerifyingStoreReceipts.html%23//apple_ref/doc/uid/TP40008267-CH104-SW1">https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/StoreKitGuide…</a>

  下面Himi就詳細講解如何在我們付費流程中加入iap防護，步驟如下：

1. 首先将 json類庫和NSData+Base64類導入你的項目中，下載下傳：

2. 然後将Himi封裝的如下函數拷貝到你付費代碼所在的類中：

.h中： 

-(BOOL)putStringToItunes:(NSData*)iapData; 

.m中： 

#import "NSData+Base64.h" 

#import "NSString+SBJSON.h" 

#import "JSON.h" 

-(BOOL)putStringToItunes:(NSData*)iapData{//使用者購成功的transactionReceipt 

    NSString*encodingStr = [iapData base64EncodedString]; 

    NSString *URL=@"https://sandbox.itunes.apple.com/verifyReceipt"; 

    //https://buy.itunes.apple.com/verifyReceipt 

    NSMutableURLRequest *request = [[NSMutableURLRequest alloc] init];// autorelease]; 

    [request setURL:[NSURL URLWithString:URL]]; 

    [request setHTTPMethod:@"POST"]; 

    //設定contentType 

    [request addValue:@"application/json" forHTTPHeaderField:@"Content-Type"]; 

    //設定Content-Length 

    [request setValue:[NSString stringWithFormat:@"%d", [encodingStr length]] forHTTPHeaderField:@"Content-Length"];   

    NSDictionary* body = [NSDictionary dictionaryWithObjectsAndKeys:encodingStr, @"receipt-data", nil]; 

    SBJsonWriter *writer = [SBJsonWriter new]; 

    [request setHTTPBody:[[writer stringWithObject:body] dataUsingEncoding:NSASCIIStringEncoding allowLossyConversion:YES]]; 

    NSHTTPURLResponse *urlResponse=nil; 

    NSError *errorr=nil; 

    NSData *receivedData = [NSURLConnection sendSynchronousRequest:request 

                                                 returningResponse:&amp;urlResponse 

                                                             error:&amp;errorr]; 

    //解析 

    NSString *results=[[NSString alloc]initWithBytes:[receivedData bytes] length:[receivedData length] encoding:NSUTF8StringEncoding]; 

    CCLOG(@"-Himi-  %@",results); 

    NSDictionary*dic = [results JSONValue]; 

    if([[dic objectForKey:@"status"] intValue]==0){//注意，status=@"0" 是驗證收據成功 

        return true; 

    } 

    return false; 

} 

- (void)paymentQueue:(SKPaymentQueue *)queue updatedTransactions:(NSArray *)transactions//交易結果 

{ 

    for (SKPaymentTransaction *transaction in transactions) 

    { 

        switch (transaction.transactionState) 

        { 

            case SKPaymentTransactionStatePurchased://交易完成 

                 if([self putStringToItunes:transaction.transactionReceipt]){ 

                     //這裡給使用者添加錢阿，裝備阿什麼的 

                 } 

                   break; 

             ......代碼省略 

         } 

     } 

上面這個函數當擷取交易成功的消息都會進入到SKPaymentTransactionStatePurchased這個case中（不管是iap cracker模拟的還是appstore真的回報的消息）， 那麼我們一般不做iap防護情況下，會直接在此case中給使用者添加金币阿，什麼的！ 但是如上所說因為iap cracker也會模拟傳回交易成功的消息，也會進入到這個case中，是以我們在此與appstore再次進行一次收據驗證！

接着說下此方法的使用，一般付費代碼中，童鞋們肯定會有如下函數：

另外說一點當交易完成時appstore傳回來的transaction（SKPaymentTransaction）類中的transactionReceipt屬性裡包含AppStore傳回經過簽名的收據資訊！OK，我們要的就是這個收據并将此收據post給appstore 的server進行收據驗證，是以在SKPaymentTransactionStatePurchased這個交易成功的case中再調用Himi封裝的函數if([self putStringToItunes:transaction.transactionReceipt]){} 進行再次确認下購買是否付費流程正确！

那麼下面詳細說下Himi封裝的這個putStringToItunes函數：

此函數中，首先我們将傳入的收據data類型變量進行base64轉換成string類型，然後将此收據以json的形式發送給appstore進行驗證！這裡注意！一定要以json形式發送，否則appstore server端不識别!

最後再次利用json對appstore server傳回的字段（json資料）進行解析，我們隻需要解析出 status 這個key的value即可！

當appstore驗證收據正确時我們解析出來的 status 這個key的value值為0(零)！

下面是appstore傳回json資料的兩種形式：

1. 收據無效的情況：

{"status":21002, "exception":"java.lang.NullPointerException"} 

2.收據正确的情況，如下圖（點選放大）：

最後大家需要注意的一點是，Himi封裝的函數中post的位址這裡要記得釋出的時候修改！

      因為當你沙盒測試的時候位址是：https://sandbox.itunes.apple.com/verifyReceipt

      但是正式釋出後post的位址應該是：  https://buy.itunes.apple.com/verifyReceipt

千萬不要釋出應用的時候别忘記修改這裡！

OK，本篇就介紹到這裡，希望對還沒有做iap防護的童鞋有所幫助！

本文轉自 xiaominghimi 51CTO部落格，原文連結：http://blog.51cto.com/xiaominghimi/829760，如需轉載請自行聯系原作者