Receipt-Validation-Programming-Guide-CN.pdf

收据验证是iOS应用开发中的一项重要技术，它能够确保应用的内购收入得到合法的确认，同时也能有效地阻止未经授权的拷贝运行。收据是应用程序的销售记录以及应用内任何内购项目的销售记录，这些记录通常包含了产品的版本信息、购买日期、交易标识符等关键信息。在进行收据验证时，主要有两种方式，即本地验证和通过AppStore验证。 本地验证是指在客户端应用程序中直接验证收据的有效性。这需要应用具备读取和验证PKCS#7签名的代码，以及解析和验证已签署的Payload的代码。为了完成本地验证，开发者必须熟悉密码学和安全编码技术。在实际操作中，开发者可以在App启动后、显示任何用户界面或执行任何子进程前执行本地验证。在macOS平台，如果appStoreReceiptURL方法不可用，可以通过硬编码路径来查找收据，路径一般为/Applications/<应用名>.app/Contents/_MASReceipt/receipt。而iOS平台，在较旧系统上若appStoreReceiptURL方法不可用，则可以通过验证SKPaymentTransaction对象的transactionReceipt属性来获取收据。在进行本地验证时，开发者应当定期重复检查，以确保应用程序的安全性。 通过AppStore验证收据是指在应用和服务器之间建立安全连接，由服务器端代码来完成收据验证的请求。开发者需要在服务器上实现用于通过AppStore验证收据的代码，并向AppStore发送收据数据以获取验证结果。在收据验证失败的情况下，文档建议在macOS中应用程序应当退出，在iOS中则应当刷新收据。此外，文档还提到了为Mac App设置最低系统版本的重要性，以及在开发过程中进行测试的必要性。 收据验证的具体实现过程中，会涉及到多个字段的解析，例如App收据字段包含了BundleIdentifier、App版本、不透明值等信息，而App内购买项目收据字段则包括产品标识符、交易标识符、购买日期等。这些字段都有特定的用途，比如BundleIdentifier用于标识应用，SHA-1哈希用于验证签名。开发者在实现收据验证时，需要关注这些字段并加以合理利用。 在文档中还提到了获取电脑的GUID以及使用OpenSSL验证签名的方法。GUID通常在进行收据验证时用于标识特定设备。使用OpenSSL可以对收据进行签名验证，确保收据的真实性和完整性。此外，文档还提到了使用asn1c解析Payload的方法，以及如何提取收据属性，计算GUID的哈希值等。 此外，开发者在实现收据验证时，必须遵循许可协议和审核准则，以确保所采取的措施不会违反Apple的相关规定。在进行收据验证时，保护验证检查的安全是至关重要的。例如，在Mac App中，开发者不应本地化版本号，以防止破解者通过修改本地化文件来绕过安全检查。 总结来说，收据验证是iOS应用内购功能的重要组成部分，通过有效的收据验证可以保障开发者的收入和应用的安全性。开发者需要掌握相关密码学和安全编码技术，并结合Apple提供的文档，来设计和实现一套完善的收据验证机制。同时，开发者也需要关注苹果的最新政策和技术文档，确保在开发过程中遵循规范，提供良好的用户体验和应用安全性。