ios支付,服务器拿receipt数据去苹果验证的问题
我们最近发现,伪造的receipt 数据也能通过苹果的验证。有人知道这个bug一直存在么?我们支付流程如下:
1.客户端向Appstore请求购买产品(假设产品信息已经取得),Appstore验证产品成功后,从用户的Apple账户余额中扣费。
2.Appstore向客户端返回一段receipt-data,里面记录了本次交易的证书和签名信息。
3.客户端向我们可以信任的游戏服务器提供receipt-data
4.游戏服务器对receipt-data进行一次base64编码
5.把编码后的receipt-data发往itunes.appstore进行验证
6.itunes.appstore返回验证结果给游戏服务器
7.游戏服务器对商品购买状态以及商品类型,向客户端发放相应的道具与推送数据更新通知
但是我最近发现后台有很多伪造的receipt 数据 也能通过苹果验证,如果不是我们服务器对订单还有一层验证的话,就会造成刷单了,我想问下你们遇到过么?怎样彻底解决这个问题。