對于iOS的應用安全這塊主要有兩塊是我們開發者可以避免的,一個是存儲資料加密,這個在上一篇文章Himi介紹了base64加密算法;另外一個就是付費産品防護!那麼本篇Himi來分享如何防護越獄使用者的iap Cracker!
對于iap Cracker這個插件,Himi簡單介紹下!
iap Cracker可以說是iOS越獄使用者的終極利器阿,當今app Store的所有内置收費的遊戲,基本使用此插件進行秒購買無壓力!(對于那些收費下載下傳的遊戲,對于越獄使用者來說,安裝個XX助手<你懂得~>就可以免費體驗app store的所有遊戲,不管你下載下傳收費還是内置收費!)
iap Cracker能繞過appstore的付費流程,其方式是當使用者點選付費産品進行購買後,iap Cracker模拟傳回一個購買成功的消息(無需聯網,說白了,連post 資料給App store都沒有!),然後我們應用中收到這個“假的”交易成功的消息直接給使用者加錢,加裝備,加各種….
OK,對于iap Cracker就不再多介紹了,下面Himi來分享如何防護iap Cracker吧;
對于越獄使用者使用付費破解插件進行付費這個問題,其實Apple并沒有不管,而是已經在文檔中清晰的說明,隻是很多童鞋并沒有發現,如下截圖:
<a href="http://www.himigame.com/wp-content/uploads/2012/03/222.png"></a>
apple提示開發者付費要進行驗證付費收據! 原文apple dev官方文檔連接配接:
<a href="https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/StoreKitGuide/VerifyingStoreReceipts/VerifyingStoreReceipts.html%23//apple_ref/doc/uid/TP40008267-CH104-SW1">https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/StoreKitGuide…</a>
下面Himi就詳細講解如何在我們付費流程中加入iap防護,步驟如下:
1. 首先将 json類庫和NSData+Base64類導入你的項目中,下載下傳:
2. 然後将Himi封裝的如下函數拷貝到你付費代碼所在的類中:
.h中:
-(BOOL)putStringToItunes:(NSData*)iapData;
.m中:
#import "NSData+Base64.h"
#import "NSString+SBJSON.h"
#import "JSON.h"
-(BOOL)putStringToItunes:(NSData*)iapData{//使用者購成功的transactionReceipt
NSString*encodingStr = [iapData base64EncodedString];
NSString *URL=@"https://sandbox.itunes.apple.com/verifyReceipt";
//https://buy.itunes.apple.com/verifyReceipt
NSMutableURLRequest *request = [[NSMutableURLRequest alloc] init];// autorelease];
[request setURL:[NSURL URLWithString:URL]];
[request setHTTPMethod:@"POST"];
//設定contentType
[request addValue:@"application/json" forHTTPHeaderField:@"Content-Type"];
//設定Content-Length
[request setValue:[NSString stringWithFormat:@"%d", [encodingStr length]] forHTTPHeaderField:@"Content-Length"];
NSDictionary* body = [NSDictionary dictionaryWithObjectsAndKeys:encodingStr, @"receipt-data", nil];
SBJsonWriter *writer = [SBJsonWriter new];
[request setHTTPBody:[[writer stringWithObject:body] dataUsingEncoding:NSASCIIStringEncoding allowLossyConversion:YES]];
NSHTTPURLResponse *urlResponse=nil;
NSError *errorr=nil;
NSData *receivedData = [NSURLConnection sendSynchronousRequest:request
returningResponse:&urlResponse
error:&errorr];
//解析
NSString *results=[[NSString alloc]initWithBytes:[receivedData bytes] length:[receivedData length] encoding:NSUTF8StringEncoding];
CCLOG(@"-Himi- %@",results);
NSDictionary*dic = [results JSONValue];
if([[dic objectForKey:@"status"] intValue]==0){//注意,status=@"0" 是驗證收據成功
return true;
}
return false;
}
- (void)paymentQueue:(SKPaymentQueue *)queue updatedTransactions:(NSArray *)transactions//交易結果
{
for (SKPaymentTransaction *transaction in transactions)
{
switch (transaction.transactionState)
{
case SKPaymentTransactionStatePurchased://交易完成
if([self putStringToItunes:transaction.transactionReceipt]){
//這裡給使用者添加錢阿,裝備阿什麼的
}
break;
......代碼省略
}
}
上面這個函數當擷取交易成功的消息都會進入到SKPaymentTransactionStatePurchased這個case中(不管是iap cracker模拟的還是appstore真的回報的消息), 那麼我們一般不做iap防護情況下,會直接在此case中給使用者添加金币阿,什麼的! 但是如上所說因為iap cracker也會模拟傳回交易成功的消息,也會進入到這個case中,是以我們在此與appstore再次進行一次收據驗證!
接着說下此方法的使用,一般付費代碼中,童鞋們肯定會有如下函數:
另外說一點當交易完成時appstore傳回來的transaction(SKPaymentTransaction)類中的transactionReceipt屬性裡包含AppStore傳回經過簽名的收據資訊!OK,我們要的就是這個收據并将此收據post給appstore 的server進行收據驗證,是以在SKPaymentTransactionStatePurchased這個交易成功的case中再調用Himi封裝的函數if([self putStringToItunes:transaction.transactionReceipt]){} 進行再次确認下購買是否付費流程正确!
那麼下面詳細說下Himi封裝的這個putStringToItunes函數:
此函數中,首先我們将傳入的收據data類型變量進行base64轉換成string類型,然後将此收據以json的形式發送給appstore進行驗證!這裡注意!一定要以json形式發送,否則appstore server端不識别!
最後再次利用json對appstore server傳回的字段(json資料)進行解析,我們隻需要解析出 status 這個key的value即可!
當appstore驗證收據正确時我們解析出來的 status 這個key的value值為0(零)!
下面是appstore傳回json資料的兩種形式:
1. 收據無效的情況:
{"status":21002, "exception":"java.lang.NullPointerException"}
2.收據正确的情況,如下圖(點選放大):
最後大家需要注意的一點是,Himi封裝的函數中post的位址這裡要記得釋出的時候修改!
因為當你沙盒測試的時候位址是:https://sandbox.itunes.apple.com/verifyReceipt
但是正式釋出後post的位址應該是: https://buy.itunes.apple.com/verifyReceipt
千萬不要釋出應用的時候别忘記修改這裡!
OK,本篇就介紹到這裡,希望對還沒有做iap防護的童鞋有所幫助!
本文轉自 xiaominghimi 51CTO部落格,原文連結:http://blog.51cto.com/xiaominghimi/829760,如需轉載請自行聯系原作者