现在的位置: 首页 > 综合 > 正文

iPhone/iPad的IAP防破解之第三方服务器二次验证(附代码)

2013年04月14日 ⁄ 综合 ⁄ 共 3170字 ⁄ 字号 评论关闭

http://www.anagyris.com/iphone_ipad_iap_anti_crack.html

现在IAP破解很严重,让我等本来就收入不多的个人开发者更是雪上加霜。破解原理在此就不作过多讲解了。正所谓魔高一尺,道高一丈,各种防IAP破解的方法出来了,其它比较有效的是和Apple服务器二次验证。意思就是拿到购买成功的数据再次发送到Apple服务器去验证此次购买是否真实有效。但如果你是在iPhone/iPad上和Apple服务器做这个二次验证,也是有可能被破解的(有Developer测试后确定是能破解,这个我没测试过)。所以这个二次验证最好放在自己的服务器上(VPS和虚拟主机即可,因为我的是VPS,所以下文以VPS指代)。由于iPhone/iPad和VPS之间的验证协议完全由你自己定,所以这样基本上能做到万无一失!

约定:

1. VPS端程序用的是PHP

2. iPhone/iPad端代码采用了第三方库:ASIHTTPRequest, GMTBase64

大概步骤如下:

1. iPhone/iPad向Apple服务器发送购买请求

2. Apple服务器返回购买成功的receipt

3. iPhone/iPad将收到的receipt用Base64编码后发送到自己的VPS

4. 自己的VPS的PHP程序收到receipt后向Apple服务器发送二次验证,验证该receipt是否真实有效

5. Apple回复验证结果

6. 得到结果,你就可以随意了~~

iPhone/iPad端代码

  1. - (BOOL) verifyReceipt:(NSData*)receipt   
  2. {   
  3.     NSURL *url = [NSURL URLWithString:[NSString stringWithFormat:@"%@/verifyiapreceipt.php", SERVER_DOMAIN]];   
  4.     ASIFormDataRequest *request = [ASIFormDataRequest requestWithURL:url];   
  5.     [request setPostValue:[GTMBase64 stringByEncodingData:receipt] forKey:@"receipt"];   
  6. #ifdef TEST_SANDBOX   
  7.     [request setPostValue:@"1" forKey:@"sandbox"];   
  8. #else   
  9.     [request setPostValue:@"0" forKey:@"sandbox"];   
  10. #endif   
  11.        
  12.     [request startSynchronous];   
  13.     NSError *err = [request error];   
  14.     if (err)   
  15.     {   
  16.         return  NO;   
  17.     }   
  18.        
  19.     if (处理reqquest,如果是验证成功)   
  20.         return YES;   
  21.     return NO;   
  22. }  

 

VPS端代码(PHP)

  1. <?php   
  2.     function getReceiptData($receipt$isSandbox = false)   
  3.     {   
  4.         if ($isSandbox) {   
  5.             $endpoint = 'https://sandbox.itunes.apple.com/verifyReceipt';
      
  6.         }   
  7.         else {   
  8.             $endpoint = 'https://buy.itunes.apple.com/verifyReceipt';
      
  9.         }   
  10.     
  11.         $postData = json_encode(   
  12.             array('receipt-data' => $receipt)   
  13.         );   
  14.     
  15.         $ch = curl_init($endpoint);   
  16.         curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);   
  17.         curl_setopt($ch, CURLOPT_POST, true);   
  18.         curl_setopt($ch, CURLOPT_POSTFIELDS, $postData);   
  19.     
  20.         $response = curl_exec($ch);   
  21.         $errno    = curl_errno($ch);   
  22.         $errmsg   = curl_error($ch);   
  23.         curl_close($ch);   
  24.     
  25.         if ($errno != 0) {   
  26.             throw new Exception($errmsg$errno);   
  27.         }   
  28.     
  29.         $data = json_decode($response);   
  30.     
  31.         if (!is_object($data)) {   
  32.             throw new Exception('Invalid response data');   
  33.         }   
  34.     
  35.         if (!isset($data->status) || $data->status != 0) {   
  36.             throw new Exception('Invalid receipt');   
  37.         }   
  38.     
  39.         return array(   
  40.             'quantity'       =>  $data->receipt->quantity,   
  41.             'product_id'     =>  $data->receipt->product_id,   
  42.             'transaction_id' =>  $data->receipt->transaction_id,   
  43.             'purchase_date'  =>  $data->receipt->purchase_date,   
  44.             'app_item_id'    =>  $data->receipt->app_item_id,   
  45.             'bid'            =>  $data->receipt->bid,   
  46.             'bvrs'           =>  $data->receipt->bvrs   
  47.         );   
  48.     }   
  49.     
  50.     $receipt   = $_REQUEST['receipt'];   
  51.     $isSandbox = (bool) $_REQUEST['sandbox'];   
  52.     
  53.     try {   
  54.         $info = getReceiptData($receipt$isSandbox);   
  55.     
  56.         //验证购买有效   
  57.     }   
  58.     catch (Exception $ex) {   
  59.         //验证购买无效   
  60.     }   
  61. ?>  

 

这样就完成了。这种方式的缺点是相比正常流程下要慢一点,因为要经过自己的VPS,但在使用过程中感觉不是太明显。

抱歉!评论已关闭.