【发布时间】:2013-11-24 22:03:18
【问题描述】:
我看到所有这些方法都可以验证因黑客入侵而收到的应用内购买收据,但如果您的内容托管在 Apple 上,是否有必要这样做?
我看不出对应用程序的黑客攻击如何强制 Apple 服务器下载内容,对吧?
如果应用程序是免费的并且它是围绕托管的应用程序内建模的,那么您无需担心,对吗?我认为这是唯一不需要验证收据的情况。
请确认。
【问题讨论】:
标签: ios in-app-purchase
【发布时间】:2013-11-24 22:03:18
【问题描述】:
目前尚不清楚 Apple 是否会在交付 IAP 内容之前对其进行收据验证,因此您仍应自行验证。在处理数十亿张收据时,为每个 IAP 客户存储收据服务器端似乎会很麻烦,所以我猜他们不会验证 IAP 收据。
【讨论】:
-
好的,但是你知道内容是怎么来的吗?在 Apple 完成付款后,内容会推送到您的设备。黑客如何绕过它?输入苹果的唯一信息是苹果 ID/密码和 inapp 的代码。我认为伪造的唯一方法是提供伪造的有效 AppleID 和伪造的信用卡。即使您创建自己的验证,在这种情况下也无济于事。我的意思是:如果我没记错的话,Apple 会同时向您的应用推送收据和托管内容。
-
不要低估黑客。为什么不定期检查收据,然后如果标记为无效,请在代码级别禁用该功能。
-
好的。只是最后一个问题。 By this answer,验证收据似乎很容易,但最近使用 OpenSSL 使事情升级,变得庞大而复杂。如此复杂以至于无法理解,因为没有人详细解释它。这是为什么?如何在 iOS 6 和 7 上真正实现 inapp 和 bundle 的收据验证?谢谢
-
我使用 Receigen 应用程序 (MAS) 生成模糊且唯一的收据验证码 receigen.etiemble.com