iOS In App Purchase のレシート検証手順
投稿者: ytyng 8年, 9ヶ月 前
iOS 端末での処理
SKPaymentTransactionObserver の
- (void)paymentQueue:(SKPaymentQueue *)queue updatedTransactions:(NSArray *)transactions
で、 transaction.transactionState == SKPaymentTransactionStatePurchased になった場合、Apple との課金が成立したということ。 (transaction は transactions の1要素)
#pragma mark - SKPaymentTransactionObserver
- (void)paymentQueue:(SKPaymentQueue *)queue updatedTransactions:(NSArray *)transactions {
for (SKPaymentTransaction *transaction in transactions) {
switch (transaction.transactionState) {
case SKPaymentTransactionStatePurchasing:
// 購入処理中
...
break;
case SKPaymentTransactionStatePurchased:
// 購入完了
[queue finishTransaction:transaction];
[self purchaseProcedure:transaction];
break;
case SKPaymentTransactionStateFailed:
// 購入失敗
...
[queue finishTransaction:transaction];
break;
case SKPaymentTransactionStateRestored:
// 購入リストア
...
[queue finishTransaction:transaction];
break;
default:
// 放置
[queue finishTransaction:transaction];
break;
}
}
}
この、購入完了 で、サーバ側にレシートを送り、サーバ側で付与処理を行う。
サーバに送るログレシートは2種類あり、
- (void)purchaseProcedure:(SKPaymentTransaction *)transaction {
NSURL *receiptURL = [[NSBundle mainBundle] appStoreReceiptURL];
NSData *receiptData = [NSData dataWithContentsOfURL:receiptURL];
NSString *base64receiptData = [receiptData base64EncodedStringWithOptions:0];
// deprecated だが念のため送る
NSString *base64TransactionReceipt = [transaction.transactionReceipt base64EncodedStringWithOptions:0];
このように、
- base64receiptData (以下、receiptData)
- base64TransactionReceipt (以下、transactionReceipt)
という文字列が作れる。これをサーバに送る。一緒に、transaction.transactionIdentifier も送っておく。
サーバ側での処理
サーバ側でこれらのレシート情報をもらったら、Appleにリクエストして検証を行う。
レシート検証リクエストをするコードはこんな感じ ( Python )
import requests
import json
class AppleReceiptVerifyStatusError(Exception):
pass
class AppleReceipt(object):
@staticmethod
def verify_request(receipt_data):
url = 'https://buy.itunes.apple.com/verifyReceipt'
data = {'receipt-data': receipt_data}
headers = {'Content-type': 'application/json', 'Accept': 'text/plain'}
r = requests.post(url, data=json.dumps(data), headers=headers)
# print(r.content)
if r.status_code == 200:
parsed = json.loads(r.content.decode('utf-8'))
if parsed['status'] == 21007:
# 検証環境の課金だった
return AppleReceipt.verify_request_sandbox(receipt_data)
return parsed
else:
raise AppleReceiptVerifyStatusError(r.status_code)
@staticmethod
def verify_request_sandbox(receipt_data):
url = 'https://sandbox.itunes.apple.com/verifyReceipt'
data = {'receipt-data': receipt_data}
headers = {'Content-type': 'application/json', 'Accept': 'text/plain'}
r = requests.post(url, data=json.dumps(data), headers=headers)
# print(r.content)
if r.status_code == 200:
return json.loads(r.content.decode('utf-8'))
else:
raise AppleReceiptVerifyStatusError(r.status_code)
receiptData を検証する
iOS 端末から受け取った receiptData を、 ' ' → '+' に置換して、 AppleReceipt.verify_request() に渡す。
verify_result = AppleReceipt.verify_request(
post_data['receiptData'].replace(' ', '+'))
戻ってくる verify_result に対し、以下の内容を確認する。
- verify_result['status'] == 0 であること
- verify_result['receipt']['in_app'] が要素1以上の配列であること
verify_result['receipt']['in_app'] の要素について
- 全ての要素の['product_id']が、自分のアプリの販売アイテムのものであること
その内1つの要素が以下の条件を満たしていること
- ['transaction_id'] が、販売時の transactionIdentifier であること
また、その購入がリストアでない場合、
- ['original_transaction_id'] が、販売時の transactionIdentifier であること
※ original_transaction_id は、課金リストア時に、実際に課金した時の transactionIdentifier が入るっぽい。 消費型 (consumable) アイテム以外を販売したことが無いので確認できず。
transactionReceipt を検証する
旧方式で deprecated であり、そのうち使えなくなるかもしれないが、まだ実施可能なので一応やっとく。
verify_result = AppleReceipt.verify_request(
post_data['transactionReceipt'])
戻ってくる verify_result に対し、以下の内容を確認する。
- verify_result['status'] == 0 であること
- verify_result['receipt']['product_id']が、自分のアプリの販売アイテムのものであること
- verify_result['receipt']['transaction_id'] が、販売時の transactionIdentifier であること
また、その購入がリストアでない場合、
- verify_result['receipt']['original_transaction_id'] が、販売時の transactionIdentifier であること
その他
transactionIdentifier が、処理済みのものでないこと。(リプレイ送信でないこと)
補足
レシート検証プログラミングガイド (TP40010573 0.0.0) - ValidateAppStoreReceipt.pdf https://developer.apple.com/jp/documentation/ValidateAppStoreReceipt.pdf
課金をクラックするツールがあるので、気をつけましょう。実際に、このツールからのリクエストはたまに来ます。
Appleのサーバー認証を通過するアプリ内課金のクラックツールが出回っているらしい - @Yoski はてな別室 http://yoski.hatenablog.com/entry/2013/03/22/Apple%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E8%AA%8D%E8%A8%BC%E3%82%92%E9%80%9A%E9%81%8E%E3%81%99%E3%82%8B%E3%82%A2%E3%83%97%E3%83%AA%E5%86%85%E8%AA%B2%E9%87%91%E3%81%AE%E3%82%AF%E3%83%A9%E3%83%83_
コメント