iPhone/iPad的IAP防破解之第三方服务器二次验证

现在IAP破解很严重，让我等本来就收入不多的个人开发者更是雪上加霜。破解原理在此就不作过多讲解了。正所谓魔高一尺，道高一丈，各种防IAP破解的方法出来了，其它比较有效的是和Apple服务器二次验证。意思就是拿到购买成功的数据再次发送到Apple服务器去验证此次购买是否真实有效。但如果你是在iPhone/iPad上和Apple服务器做这个二次验证，也是有可能被破解的。所以这个二次验证最好放在自己的服务器上。由于iPhone/iPad和VPS之间的验证协议完全由你自己定，所以这样基本上能做到万无一失！

约定：

1. VPS端程序用的是PHP

2. iPhone/iPad端代码采用了第三方库：ASIHTTPRequest, GMTBase64

大概步骤如下：

1. iPhone/iPad向Apple服务器发送购买请求

2. Apple服务器返回购买成功的receipt

3. iPhone/iPad将收到的receipt用Base64编码后发送到自己的VPS

4. 自己的VPS的PHP程序收到receipt后向Apple服务器发送二次验证，验证该receipt是否真实有效

5. Apple回复验证结果

6. 得到结果，你就可以随意了~~

iPhone/iPad端代码

- (BOOL) verifyReceipt:(NSData*)receipt   

{   

    NSURL *url = [NSURL URLWithString:[NSString stringWithFormat:@"%@/verifyiapreceipt.php", SERVER_DOMAIN]];   

    ASIFormDataRequest *request = [ASIFormDataRequest requestWithURL:url];   

    [request setPostValue:[GTMBase64 stringByEncodingData:receipt] forKey:@"receipt"];   

#ifdef TEST_SANDBOX   

    [request setPostValue:@"1" forKey:@"sandbox"];   

#else   

    [request setPostValue:@"0" forKey:@"sandbox"];   

#endif   

       

    [request startSynchronous];   

    NSError *err = [request error];   

    if (err)   

    {   

        return  NO;   

    }   

       

    if (处理reqquest，如果是验证成功)   

        return YES;   

    return NO;   

}  

 

VPS端代码（PHP）

<?php   

    function getReceiptData($receipt, $isSandbox = false)   

    {   

        if ($isSandbox) {   

            $endpoint = 'https://sandbox.itunes.apple.com/verifyReceipt';   

        }   

        else {   

            $endpoint = 'https://buy.itunes.apple.com/verifyReceipt';   

        }   

    

        $postData = json_encode(   

            array('receipt-data' => $receipt)   

        );   

    

        $ch = curl_init($endpoint);   

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);   

        curl_setopt($ch, CURLOPT_POST, true);   

        curl_setopt($ch, CURLOPT_POSTFIELDS, $postData);   

    

        $response = curl_exec($ch);   

        $errno    = curl_errno($ch);   

        $errmsg   = curl_error($ch);   

        curl_close($ch);   

    

        if ($errno != 0) {   

            throw new Exception($errmsg, $errno);   

        }   

    

        $data = json_decode($response);   

    

        if (!is_object($data)) {   

            throw new Exception('Invalid response data');   

        }   

    

        if (!isset($data->status) || $data->status != 0) {   

            throw new Exception('Invalid receipt');   

        }   

    

        return array(   

            'quantity'       =>  $data->receipt->quantity,   

            'product_id'     =>  $data->receipt->product_id,   

            'transaction_id' =>  $data->receipt->transaction_id,   

            'purchase_date'  =>  $data->receipt->purchase_date,   

            'app_item_id'    =>  $data->receipt->app_item_id,   

            'bid'            =>  $data->receipt->bid,   

            'bvrs'           =>  $data->receipt->bvrs   

        );   

    }   

    

    $receipt   = $_REQUEST['receipt'];   

    $isSandbox = (bool) $_REQUEST['sandbox'];   

    

    try {   

        $info = getReceiptData($receipt, $isSandbox);   

    

        //验证购买有效   

    }   

    catch (Exception $ex) {   

        //验证购买无效   

    }   

?>  

 

这样就完成了。这种方式的缺点是相比正常流程下要慢一点，因为要经过自己的VPS，但在使用过程中感觉不是太明显