iOS In App Purchase のレシート検証手順

iOS
2015-06-30 00:30 (10 years ago)
View in English
iOS In App Purchase のレシート検証手順

iOS 端末での処理

SKPaymentTransactionObserver の

- (void)paymentQueue:(SKPaymentQueue *)queue updatedTransactions:(NSArray *)transactions

で、 transaction.transactionState == SKPaymentTransactionStatePurchased になった場合、Apple との課金が成立したということ。 (transaction は transactions の1要素)

#pragma mark - SKPaymentTransactionObserver

    

  • (void)paymentQueue:(SKPaymentQueue *)queue updatedTransactions:(NSArray *)transactions {
for (SKPaymentTransaction *transaction in transactions) {
switch (transaction.transactionState) {
case SKPaymentTransactionStatePurchasing:
// 購入処理中
...
break;
case SKPaymentTransactionStatePurchased:
// 購入完了
[queue finishTransaction:transaction];
[self purchaseProcedure:transaction];
break;
case SKPaymentTransactionStateFailed:
// 購入失敗
...
[queue finishTransaction:transaction];
break;
case SKPaymentTransactionStateRestored:
// 購入リストア
...
[queue finishTransaction:transaction];
break;
default:
// 放置
[queue finishTransaction:transaction];
break;
}
}
}

この、購入完了 で、サーバ側にレシートを送り、サーバ側で付与処理を行う。

サーバに送るログレシートは2種類あり、

- (void)purchaseProcedure:(SKPaymentTransaction *)transaction {
    NSURL *receiptURL = [[NSBundle mainBundle] appStoreReceiptURL];
    NSData *receiptData = [NSData dataWithContentsOfURL:receiptURL];
    NSString *base64receiptData = [receiptData base64EncodedStringWithOptions:0];

// deprecated だが念のため送る
NSString *base64TransactionReceipt = [transaction.transactionReceipt base64EncodedStringWithOptions:0];

このように、

  • base64receiptData (以下、receiptData)
  • base64TransactionReceipt (以下、transactionReceipt)

という文字列が作れる。これをサーバに送る。一緒に、transaction.transactionIdentifier も送っておく。

サーバ側での処理

サーバ側でこれらのレシート情報をもらったら、Appleにリクエストして検証を行う。

レシート検証リクエストをするコードはこんな感じ ( Python )

import requests
import json

class AppleReceiptVerifyStatusError(Exception):
pass


class AppleReceipt(object):
@staticmethod
def verify_request(receipt_data):
url = 'https://buy.itunes.apple.com/verifyReceipt'


    data = {'receipt-data': receipt_data}
    headers = {'Content-type': 'application/json', 'Accept': 'text/plain'}
    r = requests.post(url, data=json.dumps(data), headers=headers)
    # print(r.content)
    if r.status_code == 200:
        parsed = json.loads(r.content.decode('utf-8'))
        if parsed['status'] == 21007:
            # 検証環境の課金だった
            return AppleReceipt.verify_request_sandbox(receipt_data)
        return parsed
    else:
        raise AppleReceiptVerifyStatusError(r.status_code)

@staticmethod
def verify_request_sandbox(receipt_data):
    url = 'https://sandbox.itunes.apple.com/verifyReceipt'

    data = {'receipt-data': receipt_data}
    headers = {'Content-type': 'application/json', 'Accept': 'text/plain'}
    r = requests.post(url, data=json.dumps(data), headers=headers)
    # print(r.content)
    if r.status_code == 200:
        return json.loads(r.content.decode('utf-8'))
    else:
        raise AppleReceiptVerifyStatusError(r.status_code)

receiptData を検証する

iOS 端末から受け取った receiptData を、 ' ' → '+' に置換して、 AppleReceipt.verify_request() に渡す。

verify_result = AppleReceipt.verify_request(
    post_data['receiptData'].replace(' ', '+'))

戻ってくる verify_result に対し、以下の内容を確認する。

  • verify_result['status'] == 0 であること
  • verify_result['receipt']['in_app'] が要素1以上の配列であること

verify_result['receipt']['in_app'] の要素について

  • 全ての要素の['product_id']が、自分のアプリの販売アイテムのものであること

その内1つの要素が以下の条件を満たしていること

  • ['transaction_id'] が、販売時の transactionIdentifier であること

また、その購入がリストアでない場合、

  • ['original_transaction_id'] が、販売時の transactionIdentifier であること

※ original_transaction_id は、課金リストア時に、実際に課金した時の transactionIdentifier が入るっぽい。 消費型 (consumable) アイテム以外を販売したことが無いので確認できず。

transactionReceipt を検証する

旧方式で deprecated であり、そのうち使えなくなるかもしれないが、まだ実施可能なので一応やっとく。

verify_result = AppleReceipt.verify_request(
    post_data['transactionReceipt'])

戻ってくる verify_result に対し、以下の内容を確認する。

  • verify_result['status'] == 0 であること
  • verify_result['receipt']['product_id']が、自分のアプリの販売アイテムのものであること
  • verify_result['receipt']['transaction_id'] が、販売時の transactionIdentifier であること

また、その購入がリストアでない場合、

  • verify_result['receipt']['original_transaction_id'] が、販売時の transactionIdentifier であること

その他

transactionIdentifier が、処理済みのものでないこと。(リプレイ送信でないこと)

補足

レシート検証プログラミングガイド (TP40010573 0.0.0) - ValidateAppStoreReceipt.pdf https://developer.apple.com/jp/documentation/ValidateAppStoreReceipt.pdf

課金をクラックするツールがあるので、気をつけましょう。実際に、このツールからのリクエストはたまに来ます。

Appleのサーバー認証を通過するアプリ内課金のクラックツールが出回っているらしい - @Yoski はてな別室 http://yoski.hatenablog.com/entry/2013/03/22/Apple%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E8%AA%8D%E8%A8%BC%E3%82%92%E9%80%9A%E9%81%8E%E3%81%99%E3%82%8B%E3%82%A2%E3%83%97%E3%83%AA%E5%86%85%E8%AA%B2%E9%87%91%E3%81%AE%E3%82%AF%E3%83%A9%E3%83%83_

まだ評価がありません
著者は、アプリケーション開発会社 Cyberneura を運営しています。
開発相談をお待ちしています。
株式会社 Cyberneura を見る
新着記事

最近の投稿

最近の製作物

アーカイブ

2026
2月 (6)1月 (4)
2025
8月 (2)7月 (1)5月 (3)4月 (1)3月 (2)1月 (1)
2024
12月 (2)9月 (1)7月 (3)6月 (3)5月 (2)4月 (1)3月 (2)2月 (1)1月 (1)
2023
12月 (3)11月 (2)10月 (2)9月 (1)8月 (3)7月 (3)6月 (1)5月 (5)4月 (2)3月 (4)2月 (1)1月 (4)
2022
12月 (3)11月 (6)10月 (5)9月 (10)8月 (3)7月 (2)6月 (4)5月 (1)4月 (3)3月 (1)2月 (1)1月 (2)
2021
12月 (7)11月 (4)10月 (3)8月 (4)7月 (1)6月 (1)3月 (7)2月 (7)1月 (6)
2020
11月 (3)10月 (2)9月 (1)8月 (1)7月 (3)6月 (1)5月 (3)2月 (1)1月 (2)
2019
12月 (2)9月 (2)7月 (1)6月 (3)5月 (1)3月 (2)2月 (2)
2018
12月 (1)10月 (1)9月 (8)8月 (2)7月 (3)6月 (2)5月 (3)3月 (2)2月 (6)1月 (4)
2017
12月 (2)10月 (1)9月 (4)8月 (2)6月 (2)5月 (3)4月 (2)3月 (6)2月 (6)1月 (2)
2016
9月 (3)6月 (1)1月 (1)
2015
12月 (5)11月 (2)10月 (5)9月 (4)8月 (4)7月 (2)6月 (5)5月 (3)3月 (1)
2014
6月 (6)5月 (1)4月 (4)3月 (1)2月 (1)1月 (2)
2013
11月 (3)10月 (1)9月 (4)8月 (3)
2012
3月 (1)
2011
12月 (1)9月 (2)7月 (1)6月 (23)