クライアント アプリケーションがアプリ内購入を正常に実行し、iTunes から領収書を受け取ります。次に、クライアントはこのレシートをサーバーに送信します。サーバーはそれを Apple で検証し、成功した場合は、クライアントの一部のコンテンツのロックを解除します。
領収書または領収書の検証にこの値が含まれるように、 IAP 購入リクエストに追加のデータを挿入することは可能ですか?
中間者/パケット スニッフィングタイプのハッキングを防止しようとしています。つまり、誰かが別の人の領収書を発見し、それをサーバーに対して検証した場合、サーバーはこの領収書が生成されたものではないことをどのように知ることができますか?これ、検証者?
Apple の IAPドキュメントには、検証応答で返される値がいくつかあります。値を使用できる可能性はありversion_external_identifierますか? 用途や価値は?
ありがとう
version_external_identifierアプリケーションのリビジョンを一意に識別する任意の番号。このキーは、サンドボックスによって作成された領収書にありません。
それは本当にあなたの質問に答えます。これは、購入したアプリケーションのリビジョンを特定する方法です。同じバージョン番号でも複数のリビジョンを持つことができます。これにより、それと IAP が可能になります。
領収書または領収書の検証にこの値が含まれるように、IAP 購入リクエストに追加のデータを挿入することは可能ですか?
最終的に、いいえ。Apple は領収書とその内容を管理しています。ドキュメントのガイドラインに従えば (詳細については、投稿したリンクと一緒にこれを参照してください)、中間者攻撃に対して問題ありません (Apple はこれを考慮していたでしょう)。サーバーと Apple への接続が HTTPS であることを確認してください。
とにかく、誰かに代わって購入する中間の男性は、少し議論の余地があります。購入要求は Apple ID に関連付けられているため、中間者は資格情報を知る必要があります。