这关系到
AppStore in-App Purchase Receipt Verification IssuesiTunes的应用程序内购买收汇核销 - 晦涩,JSON
在简短的问题 - 从iTunes收据数据编码有点儿怪,JSON格式没有任何规范它。接受的答案指出,没有必要解码它,它只能发送到iTunes。
在我的情况下,我想解码该数据,以确保bundle_id
参数等于我的应用程序bundle_id
。
https://buy.itunes.apple.com/verifyReceipt
方法将收据视为有效,即使它不是为我的应用程序生成的 - 所以如果黑客将从其他应用程序发送的有效收据发送到我的服务器 - 他就会成功。
问题是如何正确地进行这样的验证,额外的步骤当然不是iTunes开发者所期望的(否则他们不会使用伪JSON),但我认为这是保护这种攻击所必需的。
对此有何想法?