這關係到
AppStore in-App Purchase Receipt Verification IssuesiTunes的應用程序內購買收匯覈銷 - 晦澀,JSON
在簡短的問題 - 從iTunes收據數據編碼有點兒怪,JSON格式沒有任何規範它。接受的答案指出,沒有必要解碼它,它只能發送到iTunes。
在我的情況下,我想解碼該數據,以確保bundle_id
參數等於我的應用程序bundle_id
。
https://buy.itunes.apple.com/verifyReceipt
方法將收據視爲有效,即使它不是爲我的應用程序生成的 - 所以如果黑客將從其他應用程序發送的有效收據發送到我的服務器 - 他就會成功。
問題是如何正確地進行這樣的驗證,額外的步驟當然不是iTunes開發者所期望的(否則他們不會使用僞JSON),但我認爲這是保護這種攻擊所必需的。
對此有何想法?