Code de validation du ticket de caisse du Mac App Store ?

Question

Je me demande si quelqu'un a un tutoriel ou un code fonctionnel pour la validation des reçus du nouvel App Store de Mac ? Les seules références que j'ai pu trouver jusqu'à présent sont l'excellente documentation d'Apple sur le sujet et un projet open source qui compile mais qui n'a pas beaucoup de commentaires en ligne et qui est donc difficile à comprendre à moins d'être un as de la cryptographie.

Documentation Apple pour les développeurs enregistrés seulement :

https://developer.apple.com/devcenter/mac/documents/validating.html

ValidateStoreReceipt de Roddi (semble prometteur, mais peu documenté) :

https://github.com/roddi/ValidateStoreReceipt

Je me demande également pourquoi Apple ne fournit pas simplement un code de travail pour la validation ?

Y a-t-il d'autres bonnes références ?

Answer 1

Il est difficile de fournir une solution générique pour la validation des reçus du Mac App Store, principalement parce qu'il s'agit d'un élément de code très sensible qui doit être difficile à contourner (cf. Documentation Apple ).

Ces projets GitHub sont de très bons points de départ pour connaître les étapes à suivre pour la validation des reçus :

• NPReceiptVerification
• ValidateStoreReceipt
• AppReceiptParser

Une fois que vous avez compris ce qu'il faut faire, voici quelques conseils :

• N'utilisez pas de classes ou de méthodes Objective-C. Objective-C transporte beaucoup de métadonnées, et sa nature dynamique les expose à l'injection au moment de l'exécution.
• N'utilisez que des appels de fonctions C. Même si vous avez besoin de plus de lignes de code avec le framework CoreFoundation, vous pouvez parfaitement faire ce que le framework Foundation peut faire (NSString, NSArray, NSDictionary, ...).
• Ne pas établir de lien dynamique avec le OpenSSL car elle a été dépréciée dans Mac OS X Lion. Si vous souhaitez utiliser OpenSSL , liez-le statiquement pour être sûr d'avoir la dernière version.
• Utiliser les fonctions du système pour la cryptographie. Mac OS X est livré avec des fonctions équivalentes depuis la version 10.5. Par exemple, pour calculer un hachage SHA-1, vous pouvez utiliser la fonction CC_SHA1 fonction.
• Ne mettez pas de chaînes de caractères en clair dans votre code. Encodez-les ou chiffrez-les. Si vous ne le faites pas, vous donnez un indice sur l'emplacement de votre code.
• N'utilisez pas de constantes numériques dans votre code. Calculez-les au moment de l'exécution, avec des opérations simples (+, -, / ou *). Encore une fois, si vous ne le faites pas, vous donnez un indice sur l'emplacement de votre code.
• Évitez les tests simples de validation en incorporant vos tests et l'appel à NSApplicationMain en une boucle complexe.
• Évitez d'appeler directement NSApplicationMain. Utilisez un pointeur de fonction pour masquer l'invocation. Si vous ne le faites pas, vous donnez un indice sur l'emplacement de votre code.
• Pour chaque version de votre application, modifiez légèrement le code de validation afin qu'il ne soit jamais le même.

N'oubliez pas que la validation des reçus est nécessaire et n'est pas aussi simple qu'il n'y paraît. Elle peut vous faire perdre beaucoup de temps que vous pourriez mieux consacrer à votre application.

Je vous suggère donc de jeter un coup d'œil à cette application : Receigen (Avertissement : je suis le développeur de cette application).

Answer 2

Afin de valider par rapport au reçu réel après le test, modifiez cette ligne de code dans votre fichier main.m fichier :

if (!validateReceiptAtPath(@"~/Desktop/receipt"))

à

#ifdef USE_SAMPLE_RECEIPT   // defined for debug version
    NSString *pathToReceipt = @"~/Desktop/receipt";
#else
    NSString *pathToReceipt = [[[NSBundle mainBundle] bundlePath]
        stringByAppendingPathComponent:@"Contents/_MASReceipt/receipt"];
#endif  
    if (!validateReceiptAtPath(pathToReceipt))
        exit(173); //receipt did not validate

et dans les paramètres de votre compilateur, "Other C Flags" pour votre configuration de débogage devrait inclure -DUSE_SAMPLE_RECEIPT

courtoisie de http://jesusagora.org/groups/futurebasic/0::53562:get:1read.html

Answer 3

Vérifiez bien que vous validez un reçu pour votre application. Il est facile de faire toute la cryptographie et la vérification des signatures pour un mauvais reçu.

Voir http://pastebin.com/1eWf9LCg Il semble qu'Angry Birds n'ait pas respecté ce point et qu'il soit possible de substituer un reçu d'une application gratuite.

Alan Quatermain a également un code pour faire cela sur github. https://github.com/AlanQuatermain/mac-app-store-validation-sample

Il ne doit pas être utilisé tel quel pour éviter une suppression automatique.

Answer 4

Vous pouvez essayer NPReceiptVerification . C'est le moyen le plus simple d'ajouter la vérification des reçus à votre application. Il vous suffit d'ajouter les fichiers de classe à votre projet, de définir la version et l'identifiant du paquet, et tout le reste est géré automatiquement.

Answer 5

J'ai examiné le code d'Alan Quartermain et il semble bon. Une chose à laquelle il faut penser :

le dernier paramètre pourrait/devrait être une exigence compilée stipulant que le code doit être signé par VOTRE certificat et celui de personne d'autre.

Lorsque le développeur soumet une application au magasin pour approbation, les certificats de signature sont les suivants :

3rd Party Mac Developer Application: me
Apple Worldwide Developer Relations Certification Authority
Apple Root CA

Une fois l'application livrée de l'App Store à l'utilisateur final, les certificats de signature sont les suivants :

Apple Mac OS Application Signing
Apple Worldwide Developer Relations Certification Authority
Apple Root CA

De plus, je suggère de n'utiliser exit(173) que lorsque le reçu est manquant, mais que tout le reste est en ordre.