苹果内购（IAP）从入门到精通（5）：掉单处理、防hook以及一些坑

一、掉单处理：从根源到解决方案

1.1 掉单的常见原因分析

掉单（Failed Transaction）是IAP开发中最常见的业务问题，其根源可归纳为三类：

• 网络问题：用户设备网络不稳定导致支付请求中断，或苹果服务器响应超时。
• 用户行为：用户主动取消支付（如点击“取消”按钮），或切换应用导致支付流程中断。
• 服务器验证失败：收据验证接口（/verifyReceipt）返回错误，或服务器时间戳与苹果服务器不同步。

典型场景：用户完成支付后，应用未及时解锁内容，但苹果账单显示已扣款。

1.2 掉单检测与恢复机制

1.2.1 客户端检测

通过监听SKPaymentTransactionObserver的回调，捕获交易状态：

func paymentQueue(_ queue: SKPaymentQueue, 
                 updatedTransactions transactions: [SKPaymentTransaction]) {
    for transaction in transactions {
        switch transaction.transactionState {
        case .failed:
            // 处理失败交易
            logTransactionError(transaction)
            SKPaymentQueue.default().finishTransaction(transaction)
        case .purchased:
            // 正常流程
            verifyReceipt(transaction.transactionReceipt)
        default: break
        }
    }
}

1.2.2 服务器端验证与补单

• 收据验证：调用苹果/verifyReceipt接口，需处理沙盒与生产环境区分。
• 补单逻辑：对未完成的交易，通过original_transaction_id查询历史记录，触发补发逻辑。

建议：

• 客户端与服务器双重验证，避免单点故障。
• 设置定时任务（如每天凌晨）扫描未完成交易，主动补发。

1.2.3 用户侧解决方案

• 提供“恢复购买”按钮，调用SKPaymentQueue.default().restoreCompletedTransactions()。
• 在应用内设置“订单查询”入口，允许用户手动触发补单。

二、防Hook攻击：守护IAP安全

2.1 Hook攻击原理与风险

Hook攻击通过篡改客户端代码，绕过苹果支付流程，常见手段包括：

• 方法替换：替换SKPaymentQueue的方法，伪造交易成功回调。
• 内存修改：动态修改交易状态（如将.failed改为.purchased）。
• 网络拦截：伪造苹果服务器响应，返回虚假收据。

风险：直接导致收入损失，甚至触发苹果审核拒绝。

2.2 防Hook技术方案

2.2.1 代码混淆与加固

• 使用LLVM混淆工具（如Obfuscator-LLVM）对关键类名、方法名进行混淆。
• 动态加载关键逻辑（如通过dlopen加载加密后的代码段）。

2.2.2 服务器端二次验证

• 收据指纹校验：验证收据中的bundle_id、application_version是否与应用匹配。
• 交易时间戳校验：检查purchase_date是否在合理范围内（如±5分钟）。
• 设备指纹校验：通过identifierForVendor或IP地址关联设备，防止多设备伪造。

示例代码（Node.js验证收据）：

const axios = require('axios');
async function verifyReceipt(receiptData, isSandbox = false) {
    const url = isSandbox 
        ? 'https://sandbox.itunes.apple.com/verifyReceipt'
        : 'https://buy.itunes.apple.com/verifyReceipt';
    const response = await axios.post(url, {
        'receipt-data': receiptData,
        'password': '你的共享密钥'
    });
    return response.data;
}

2.2.3 行为分析防伪

• 监控交易频率：单设备短时间内大量交易触发警报。
• 操作路径分析：正常用户需经过“点击购买→确认支付→输入密码”流程，Hook攻击可能跳过部分步骤。

三、IAP开发中的常见坑与避坑指南

3.1 坑一：收据验证忽略环境区分

问题：沙盒环境收据提交到生产接口，或反之。
解决方案：

• 客户端通过SKPaymentQueue.defaultMode()判断环境。
• 服务器端根据收据中的environment字段动态选择接口。

3.2 坑二：未处理订阅续期通知

问题：订阅自动续期时，苹果通过STATUS_UPDATE_NOTIFICATION推送变更，但开发者未监听。
解决方案：

• 配置服务器接收苹果通知（需在App Store Connect设置URL）。
• 实现通知解析逻辑，更新本地订阅状态。

示例通知解析：

{
    "latest_receipt_info": [{
        "original_transaction_id": "1000000...",
        "expires_date_ms": "1625097600000"
    }],
    "environment": "Sandbox"
}

3.3 坑三：多线程竞争导致状态混乱

问题：客户端同时处理多个交易，finishTransaction调用顺序错误。
解决方案：

• 使用队列管理交易，确保串行处理。
• 在paymentQueue回调中加锁（如DispatchQueue.global(qos: .userInitiated).sync）。

3.4 坑四：忽略本地化与用户体验

问题：未适配不同地区的价格、货币符号，或未提供清晰的购买确认弹窗。
解决方案：

• 使用SKProductsRequest动态获取本地化价格。
• 在支付前显示确认弹窗，明确金额、内容及自动续费条款（如适用）。

示例代码（获取本地化价格）：

let request = SKProductsRequest(productIdentifiers: ["com.example.premium"])
request.delegate = self
request.start()
// 回调中处理
func productsRequest(_ request: SKProductsRequest, 
                    didReceive response: SKProductsResponse) {
    for product in response.products {
        print("Localized price: \(product.localizedPrice)")
    }
}

四、总结与最佳实践

1. 掉单处理：客户端监听+服务器补单+用户主动恢复，三重保障。
2. 防Hook：代码混淆+服务器验证+行为分析，构建纵深防御。
3. 避坑指南：严格区分环境、处理订阅通知、管理并发、优化用户体验。

最终建议：

• 在测试环境模拟掉单、Hook攻击等场景，验证系统鲁棒性。
• 定期审计IAP日志，分析异常交易模式。
• 关注苹果官方文档更新（如App Store Review Guidelines），确保合规。

通过系统化的掉单处理、防Hook策略及避坑经验，开发者可显著提升IAP的可靠性与安全性，最终实现收入最大化与用户满意度平衡。