iOS中应用内购买的服务器端验证最佳实践

Question

我们正在使用服务器端的付款验证，就像这样 -

1. 用户付款。
2. Store kit API 向 App 发送交易收据。
3. 应用程序将 base64 编码的交易收据发送到我们的服务器。
4. 我们的服务器调用https://buy.itunes.apple.com/verifyReceipt 并验证交易收据。
5. 用户被标记为付费。

对于特定用户，我们没有在服务器上获得交易收据，因此无法验证收据。我们猜测在第 2 步和第 3 步中出了点问题。 如果在将收据发送到服务器时出现连接问题，应用程序会在后续应用程序恢复时再次重试。

现在我们有一个丢失的交易收据和一个愤怒的用户。你建议我们如何前进？我们将来如何防止这种情况发生？有没有我们可以遵循的指导方针或最佳实践来防止这种情况发生？

谢谢。

Answer 1

根据我的经验，可能的问题是

• base64 数据在此过程中进行了 url 编码，因此 + 和 / 搞砸了 - 在传输之前将它们替换为更安全的字符
• 整个交易都是假的。

检查第二种情况的方法是查看您的帐户，看看是否有匹配的购买记录。不幸的是，除非您的购买量较低，否则该网站可能有点难以审核。

代码中需要两件事来正确处理服务器上的错误，或者如果发生这种情况，Apple 就完蛋了。

1. 在与服务器成功通信之前不要调用finishTransaction:（在这种情况下没有帮助，但值得注意）
2. 在 SKPaymentQueue defaultQueue 上有一个“重新加载购买”按钮或调用 restoreCompletedTransactions: 的操作。对于非消耗品/权利对象，这将重新发送所有带有收据的交易，这些收据可以在您的服务器上重新验证。

如果您面临的问题是非消耗品/权利，那么第二项就是出路。