在iOS 7上本地验证应用内收据和捆绑收据的完整解决方案


160

我已经阅读了许多文档和代码,从理论上讲它们将验证应用内和/或捆绑收据。

鉴于我对SSL,证书,加密等的知识几乎为零,我已读过所有的解释,就像这个有前途的解释一样,我发现很难理解。

他们说,解释是不完整的,因为每个人都必须弄清楚该怎么做,否则黑客将可以轻松地创建可以识别和识别模式并对应用程序进行修补的破解程序。好的,我在一定程度上同意这一点。我认为他们可以完全解释如何做到这一点,并发出警告说“修改此方法”,“修改其他方法”,“混淆此变量”,“更改此名称的名称”等。

能有什么好心的人足够好心地解释如何在我五岁的时候明确地在iOS 7上本地验证,捆绑收据和应用内购买收据(好了,设为3),从上到下?

谢谢!!!


如果您有适用于您的应用程序的版本,并且担心黑客会看到您的操作方式,则只需在更改此处之前更改敏感方法即可。混淆字符串,更改行的顺序,更改循环的方式(从for用于阻止枚举,反之亦然),以及类似的事情。显然,每个使用可能在此处发布的代码的人都必须做同样的事情,而不必冒容易被黑客入侵的风险。


1
合理的警告:在本地执行此操作使从应用程序中修补此功能变得容易得多。
NinjaLikesCheez

2
好的,我知道,但是这里的重点是要解决问题并防止自动破解/修补。问题是,如果黑客真的想破解您的应用程序,那么他/她将执行此操作,无论您使用本地还是远程的任何方法。这个想法还在于您发布的每个新版本中都要对其稍作更改,以防止再次进行自动修补。
鸭子2013年

4
@NinjaLikesCheez-即使验证是在服务器上完成的,也可以不进行检查。
鸭子

14
对不起,但这不是借口。作者唯一要做的就是说不要按原样使用代码。没有任何例子,没有火箭科学家就不可能理解这一点。
2013年

3
如果您不想麻烦地实施DRM,那么就不必担心本地验证。只需将收据从您的应用程序直接发布到Apple,他们就会以易于解析的JSON格式再次将其发送回给您。对于海盗来说,破解它是微不足道的,但是如果您只是过渡到免费增值并且不关心盗版,那只是几行非常简单的代码。
Dan Fabulich 2015年

Answers:


146

这是我如何在应用内购买库RMStore中解决此问题的演练。我将说明如何验证交易,包括验证整个收据。

乍看上去

获取收据并验证交易。如果失败,请刷新收据,然后重试。这使得验证过程是异步的,因为刷新收据是异步的。

RMStoreAppReceiptVerifier

RMAppReceipt *receipt = [RMAppReceipt bundleReceipt];
const BOOL verified = [self verifyTransaction:transaction inReceipt:receipt success:successBlock failure:nil]; // failureBlock is nil intentionally. See below.
if (verified) return;

// Apple recommends to refresh the receipt if validation fails on iOS
[[RMStore defaultStore] refreshReceiptOnSuccess:^{
    RMAppReceipt *receipt = [RMAppReceipt bundleReceipt];
    [self verifyTransaction:transaction inReceipt:receipt success:successBlock failure:failureBlock];
} failure:^(NSError *error) {
    [self failWithBlock:failureBlock error:error];
}];

获取收据数据

收据在里面[[NSBundle mainBundle] appStoreReceiptURL],实际上是PCKS7容器。我很喜欢加密技术,所以我用OpenSSL打开了这个容器。其他人显然只是通过系统框架来做到这一点。

向您的项目添加OpenSSL并非易事。该RMStore维基应该有所帮助。

如果选择使用OpenSSL打开PKCS7容器,则代码可能如下所示。从RMAppReceipt

+ (NSData*)dataFromPKCS7Path:(NSString*)path
{
    const char *cpath = [[path stringByStandardizingPath] fileSystemRepresentation];
    FILE *fp = fopen(cpath, "rb");
    if (!fp) return nil;

    PKCS7 *p7 = d2i_PKCS7_fp(fp, NULL);
    fclose(fp);

    if (!p7) return nil;

    NSData *data;
    NSURL *certificateURL = [[NSBundle mainBundle] URLForResource:@"AppleIncRootCertificate" withExtension:@"cer"];
    NSData *certificateData = [NSData dataWithContentsOfURL:certificateURL];
    if ([self verifyPKCS7:p7 withCertificateData:certificateData])
    {
        struct pkcs7_st *contents = p7->d.sign->contents;
        if (PKCS7_type_is_data(contents))
        {
            ASN1_OCTET_STRING *octets = contents->d.data;
            data = [NSData dataWithBytes:octets->data length:octets->length];
        }
    }
    PKCS7_free(p7);
    return data;
}

稍后我们将详细介绍验证。

获取收据字段

收据以ASN1格式表示。它包含一般信息,一些用于验证目的的字段(我们将在后面介绍)以及每种适用的应用内购买的特定信息。

同样,在读取ASN1时,OpenSSL可以提供帮助。在RMAppReceipt中,使用一些辅助方法:

NSMutableArray *purchases = [NSMutableArray array];
[RMAppReceipt enumerateASN1Attributes:asn1Data.bytes length:asn1Data.length usingBlock:^(NSData *data, int type) {
    const uint8_t *s = data.bytes;
    const NSUInteger length = data.length;
    switch (type)
    {
        case RMAppReceiptASN1TypeBundleIdentifier:
            _bundleIdentifierData = data;
            _bundleIdentifier = RMASN1ReadUTF8String(&s, length);
            break;
        case RMAppReceiptASN1TypeAppVersion:
            _appVersion = RMASN1ReadUTF8String(&s, length);
            break;
        case RMAppReceiptASN1TypeOpaqueValue:
            _opaqueValue = data;
            break;
        case RMAppReceiptASN1TypeHash:
            _hash = data;
            break;
        case RMAppReceiptASN1TypeInAppPurchaseReceipt:
        {
            RMAppReceiptIAP *purchase = [[RMAppReceiptIAP alloc] initWithASN1Data:data];
            [purchases addObject:purchase];
            break;
        }
        case RMAppReceiptASN1TypeOriginalAppVersion:
            _originalAppVersion = RMASN1ReadUTF8String(&s, length);
            break;
        case RMAppReceiptASN1TypeExpirationDate:
        {
            NSString *string = RMASN1ReadIA5SString(&s, length);
            _expirationDate = [RMAppReceipt formatRFC3339String:string];
            break;
        }
    }
}];
_inAppPurchases = purchases;

获取应用内购买

每次应用内购买都在ASN1中。解析它与解析常规收据信息非常相似。

RMAppReceipt中,使用相同的帮助器方法:

[RMAppReceipt enumerateASN1Attributes:asn1Data.bytes length:asn1Data.length usingBlock:^(NSData *data, int type) {
    const uint8_t *p = data.bytes;
    const NSUInteger length = data.length;
    switch (type)
    {
        case RMAppReceiptASN1TypeQuantity:
            _quantity = RMASN1ReadInteger(&p, length);
            break;
        case RMAppReceiptASN1TypeProductIdentifier:
            _productIdentifier = RMASN1ReadUTF8String(&p, length);
            break;
        case RMAppReceiptASN1TypeTransactionIdentifier:
            _transactionIdentifier = RMASN1ReadUTF8String(&p, length);
            break;
        case RMAppReceiptASN1TypePurchaseDate:
        {
            NSString *string = RMASN1ReadIA5SString(&p, length);
            _purchaseDate = [RMAppReceipt formatRFC3339String:string];
            break;
        }
        case RMAppReceiptASN1TypeOriginalTransactionIdentifier:
            _originalTransactionIdentifier = RMASN1ReadUTF8String(&p, length);
            break;
        case RMAppReceiptASN1TypeOriginalPurchaseDate:
        {
            NSString *string = RMASN1ReadIA5SString(&p, length);
            _originalPurchaseDate = [RMAppReceipt formatRFC3339String:string];
            break;
        }
        case RMAppReceiptASN1TypeSubscriptionExpirationDate:
        {
            NSString *string = RMASN1ReadIA5SString(&p, length);
            _subscriptionExpirationDate = [RMAppReceipt formatRFC3339String:string];
            break;
        }
        case RMAppReceiptASN1TypeWebOrderLineItemID:
            _webOrderLineItemID = RMASN1ReadInteger(&p, length);
            break;
        case RMAppReceiptASN1TypeCancellationDate:
        {
            NSString *string = RMASN1ReadIA5SString(&p, length);
            _cancellationDate = [RMAppReceipt formatRFC3339String:string];
            break;
        }
    }
}]; 

应该注意的是,某些应用程序内购买(例如消耗品和不可续订的订阅)在收据中只会出现一次。您应该在购买后立即验证这些内容(再次,RMStore会帮助您完成此操作)。

验证一目了然

现在,我们从收据及其所有应用内购买中获取所有字段。首先,我们验证收据本身,然后简单地检查收据中是否包含交易产品。

下面是我们一开始就调用的方法。从RMStoreAppReceiptVerificator

- (BOOL)verifyTransaction:(SKPaymentTransaction*)transaction
                inReceipt:(RMAppReceipt*)receipt
                           success:(void (^)())successBlock
                           failure:(void (^)(NSError *error))failureBlock
{
    const BOOL receiptVerified = [self verifyAppReceipt:receipt];
    if (!receiptVerified)
    {
        [self failWithBlock:failureBlock message:NSLocalizedString(@"The app receipt failed verification", @"")];
        return NO;
    }
    SKPayment *payment = transaction.payment;
    const BOOL transactionVerified = [receipt containsInAppPurchaseOfProductIdentifier:payment.productIdentifier];
    if (!transactionVerified)
    {
        [self failWithBlock:failureBlock message:NSLocalizedString(@"The app receipt doest not contain the given product", @"")];
        return NO;
    }
    if (successBlock)
    {
        successBlock();
    }
    return YES;
}

验证收据

验证收据本身可以归结为:

  1. 检查收据是否有效PKCS7和ASN1。我们已经隐式地做到了这一点。
  2. 验证收据是否由Apple签名。这是在解析收据之前完成的,下面将详细介绍。
  3. 检查收据中包含的捆绑包标识符是否与您的捆绑包标识符相对应。您应该对捆绑包标识符进行硬编码,因为修改应用捆绑包和使用其他收据似乎并不困难。
  4. 检查收据中包含的应用程序版本是否与您的应用程序版本标识符相对应。出于上述相同的原因,您应该对应用程序版本进行硬编码。
  5. 检查收据哈希以确保收据与当前设备相对应。

RMStoreAppReceiptVerificator进行的5个高级代码步骤:

- (BOOL)verifyAppReceipt:(RMAppReceipt*)receipt
{
    // Steps 1 & 2 were done while parsing the receipt
    if (!receipt) return NO;   

    // Step 3
    if (![receipt.bundleIdentifier isEqualToString:self.bundleIdentifier]) return NO;

    // Step 4        
    if (![receipt.appVersion isEqualToString:self.bundleVersion]) return NO;

    // Step 5        
    if (![receipt verifyReceiptHash]) return NO;

    return YES;
}

让我们深入到步骤2和5。

验证收据签名

返回当我们提取数据时,我们浏览了收据签名验证。收据上带有Apple Inc.根证书,可以从Apple根证书颁发机构下载。以下代码将PKCS7容器和根证书作为数据,并检查它们是否匹配:

+ (BOOL)verifyPKCS7:(PKCS7*)container withCertificateData:(NSData*)certificateData
{ // Based on: https://developer.apple.com/library/content/releasenotes/General/ValidateAppStoreReceipt/Chapters/ValidateLocally.html#//apple_ref/doc/uid/TP40010573-CH1-SW17
    static int verified = 1;
    int result = 0;
    OpenSSL_add_all_digests(); // Required for PKCS7_verify to work
    X509_STORE *store = X509_STORE_new();
    if (store)
    {
        const uint8_t *certificateBytes = (uint8_t *)(certificateData.bytes);
        X509 *certificate = d2i_X509(NULL, &certificateBytes, (long)certificateData.length);
        if (certificate)
        {
            X509_STORE_add_cert(store, certificate);

            BIO *payload = BIO_new(BIO_s_mem());
            result = PKCS7_verify(container, NULL, store, NULL, payload, 0);
            BIO_free(payload);

            X509_free(certificate);
        }
    }
    X509_STORE_free(store);
    EVP_cleanup(); // Balances OpenSSL_add_all_digests (), per http://www.openssl.org/docs/crypto/OpenSSL_add_all_algorithms.html

    return result == verified;
}

在解析收据之前,这是从一开始就完成的。

验证收据哈希

收据中包含的哈希值是设备ID的SHA1,收据中包含的一些不透明值和捆绑包ID。

这是在iOS上验证收据哈希的方法。从RMAppReceipt

- (BOOL)verifyReceiptHash
{
    // TODO: Getting the uuid in Mac is different. See: https://developer.apple.com/library/content/releasenotes/General/ValidateAppStoreReceipt/Chapters/ValidateLocally.html#//apple_ref/doc/uid/TP40010573-CH1-SW5
    NSUUID *uuid = [[UIDevice currentDevice] identifierForVendor];
    unsigned char uuidBytes[16];
    [uuid getUUIDBytes:uuidBytes];

    // Order taken from: https://developer.apple.com/library/content/releasenotes/General/ValidateAppStoreReceipt/Chapters/ValidateLocally.html#//apple_ref/doc/uid/TP40010573-CH1-SW5
    NSMutableData *data = [NSMutableData data];
    [data appendBytes:uuidBytes length:sizeof(uuidBytes)];
    [data appendData:self.opaqueValue];
    [data appendData:self.bundleIdentifierData];

    NSMutableData *expectedHash = [NSMutableData dataWithLength:SHA_DIGEST_LENGTH];
    SHA1(data.bytes, data.length, expectedHash.mutableBytes);

    return [expectedHash isEqualToData:self.hash];
}

这就是要点。我可能在这里或那里缺少任何东西,因此我可能稍后再回到这篇文章。无论如何,我建议浏览完整的代码以获取更多详细信息。


2
安全免责声明:使用开源代码会使您的应用程序更容易受到攻击。如果需要考虑安全性,则可能只需要使用RMStore和上面的代码作为指导。
hpique

6
如果将来您不再使用OpenSSL并仅使用系统框架来使您的库紧凑,那就太好了。
鸭子

2
@RubberDuck参见github.com/robotmedia/RMStore/issues/16。随意鸣叫或贡献自己的力量。:)
hpique

1
@RubberDuck在此之前,我对OpenSSL的知识为零。谁知道,您甚至可能会喜欢。:P
hpique

2
它容易受到“中间人攻击”,其中请求和/或响应可以被拦截和修改。例如,该请求可以重定向到第三方服务器,并且可能返回错误响应,诱使该应用程序认为购买了产品(未购买),并免费启用了该功能。
Jasarien

13

我很惊讶在这里没有人提到Reeigen。它是一种自动生成混淆的收据验证码的工具,每次验证码都不相同;它支持GUI和命令行操作。强烈推荐。

(不隶属于Receigen,只是一个快乐的用户。)

当我输入时,我使用这样的Rakefile来自动重新运行Receigen(因为它需要在每次版本更改时完成)rake receigen

desc "Regenerate App Store Receipt validation code using Receigen app (which must be already installed)"
task :receigen do
  # TODO: modify these to match your app
  bundle_id = 'com.example.YourBundleIdentifierHere'
  output_file = File.join(__dir__, 'SomeDir/ReceiptValidation.h')

  version = PList.get(File.join(__dir__, 'YourProjectFolder/Info.plist'), 'CFBundleVersion')
  command = %Q</Applications/Receigen.app/Contents/MacOS/Receigen --identifier #{bundle_id} --version #{version} --os ios --prefix ReceiptValidation --success callblock --failure callblock>
  puts "#{command} > #{output_file}"
  data = `#{command}`
  File.open(output_file, 'w') { |f| f.write(data) }
end

module PList
  def self.get file_name, key
    if File.read(file_name) =~ %r!<key>#{Regexp.escape(key)}</key>\s*<string>(.*?)</string>!
      $1.strip
    else
      nil
    end
  end
end

1
对于那些对Receigen感兴趣的人,这是一个付费解决方案,可在App Store上以29.99 $的价格购买。尽管自2014
。– DevGansta

没错,缺少更新非常令人震惊。但是它仍然有效。FWIW,我在我的应用程序中使用它。
安德烈·塔兰佐夫

使用Receigen在仪器中检查您的应用程序是否存在泄漏,我得到了很多建议。
牧师

Receigen是最先进的技术,但是很遗憾,它似乎已被放弃。
Fattie

1
看起来它还没有被删除。三个星期前更新!
奥列格·科茹科夫

2

注意:不建议在客户端进行这种类型的验证

这是Swift 4版本,用于验证应用内购买收据...

让我们创建一个枚举来表示收据验证的可能错误

enum ReceiptValidationError: Error {
    case receiptNotFound
    case jsonResponseIsNotValid(description: String)
    case notBought
    case expired
}

然后让我们创建一个验证收据的函数,如果无法验证收据,它将引发错误。

func validateReceipt() throws {
    guard let appStoreReceiptURL = Bundle.main.appStoreReceiptURL, FileManager.default.fileExists(atPath: appStoreReceiptURL.path) else {
        throw ReceiptValidationError.receiptNotFound
    }

    let receiptData = try! Data(contentsOf: appStoreReceiptURL, options: .alwaysMapped)
    let receiptString = receiptData.base64EncodedString()
    let jsonObjectBody = ["receipt-data" : receiptString, "password" : <#String#>]

    #if DEBUG
    let url = URL(string: "https://sandbox.itunes.apple.com/verifyReceipt")!
    #else
    let url = URL(string: "https://buy.itunes.apple.com/verifyReceipt")!
    #endif

    var request = URLRequest(url: url)
    request.httpMethod = "POST"
    request.httpBody = try! JSONSerialization.data(withJSONObject: jsonObjectBody, options: .prettyPrinted)

    let semaphore = DispatchSemaphore(value: 0)

    var validationError : ReceiptValidationError?

    let task = URLSession.shared.dataTask(with: request) { data, response, error in
        guard let data = data, let httpResponse = response as? HTTPURLResponse, error == nil, httpResponse.statusCode == 200 else {
            validationError = ReceiptValidationError.jsonResponseIsNotValid(description: error?.localizedDescription ?? "")
            semaphore.signal()
            return
        }
        guard let jsonResponse = (try? JSONSerialization.jsonObject(with: data, options: JSONSerialization.ReadingOptions.mutableContainers)) as? [AnyHashable: Any] else {
            validationError = ReceiptValidationError.jsonResponseIsNotValid(description: "Unable to parse json")
            semaphore.signal()
            return
        }
        guard let expirationDate = self.expirationDate(jsonResponse: jsonResponse, forProductId: <#String#>) else {
            validationError = ReceiptValidationError.notBought
            semaphore.signal()
            return
        }

        let currentDate = Date()
        if currentDate > expirationDate {
            validationError = ReceiptValidationError.expired
        }

        semaphore.signal()
    }
    task.resume()

    semaphore.wait()

    if let validationError = validationError {
        throw validationError
    }
}

让我们使用此帮助器函数来获取特定产品的到期日期。该函数接收JSON响应和产品ID。JSON响应可以包含不同产品的多个收据信息,因此它将获取指定参数的最新信息。

func expirationDate(jsonResponse: [AnyHashable: Any], forProductId productId :String) -> Date? {
    guard let receiptInfo = (jsonResponse["latest_receipt_info"] as? [[AnyHashable: Any]]) else {
        return nil
    }

    let filteredReceipts = receiptInfo.filter{ return ($0["product_id"] as? String) == productId }

    guard let lastReceipt = filteredReceipts.last else {
        return nil
    }

    let formatter = DateFormatter()
    formatter.dateFormat = "yyyy-MM-dd HH:mm:ss VV"

    if let expiresString = lastReceipt["expires_date"] as? String {
        return formatter.date(from: expiresString)
    }

    return nil
}

现在您可以调用此函数并处理可能的错误情况

do {
    try validateReceipt()
    // The receipt is valid 😌
    print("Receipt is valid")
} catch ReceiptValidationError.receiptNotFound {
    // There is no receipt on the device 😱
} catch ReceiptValidationError.jsonResponseIsNotValid(let description) {
    // unable to parse the json 🤯
    print(description)
} catch ReceiptValidationError.notBought {
    // the subscription hasn't being purchased 😒
} catch ReceiptValidationError.expired {
    // the subscription is expired 😵
} catch {
    print("Unexpected error: \(error).")
}

您可以从App Store Connect 获取密码https://developer.apple.com打开此链接,单击

  • Account tab
  • Do Sign in
  • Open iTune Connect
  • Open My App
  • Open Feature Tab
  • Open In App Purchase
  • Click at the right side on 'View Shared Secret'
  • At the bottom you will get a secrete key

复制该密钥并粘贴到密码字段中。

希望这对每个想要快速版本的人有所帮助。


19
您永远不要使用设备中的Apple验证URL。它只能在您的服务器上使用。WWDC会议中提到了这一点。
pechar

如果用户删除应用程序或长时间不打开会发生什么?您的到期日计算工作正常吗?
karthikeyan

然后,您需要在服务器端保留验证。
Pushpendra

1
正如@pechar所说,您永远不要这样做。请添加到答案的顶部。参见WWDC会议,网址为36:32 => developer.apple.com/videos/play/wwdc2016/702
cicerocamargo

我不明白为什么直接从设备发送收据数据并不安全。有人可以解释吗?
酸值
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.