苹果IAP安全支付与防范技巧
&这两天我在筹备我们的游戏APP的内购，仔细考虑了几个付费安全上的问题。凡是涉及到付费的问题都很敏感，任何一方出现损失都是不能接受的，所以在这里整理一些支付安全的要点分享一下。IAP是指In-App Purchase, 是一种付费方式，而并不是苹果专有的付费方式，在其它平台上也会有不同的实现，这里针对Apple&IAP。
说到IAP安全问题，在苹果的IAP流程中有一个比较明显的逻辑漏洞，这个逻辑漏洞是建立在我们处理不当的情况下发生的，会导致己方提供的服务和玩家之间出现问题。先看看IAP支付时序图：
整个支付流程如下：
1.客户端向Appstore请求购买产品（假设产品信息已经取得），Appstore验证产品成功后，从用户的Apple账户余额中扣费。
2.Appstore向客户端返回一段receipt-data，里面记录了本次交易的证书和签名信息。
3.客户端向我们可以信任的游戏服务器提供receipt-data
4.游戏服务器对receipt-data进行一次base64编码
5.把编码后的receipt-data发往itunes.appstore进行验证
6.itunes.appstore返回验证结果给游戏服务器
7.游戏服务器对商品购买状态以及商品类型，向客户端发放相应的道具与推送数据更新通知
这七个步骤实际上是一个很安全的流程了。那问题出在哪里呢？我们谈谈两种苹果IAP的验证模型。
IAP built-in Model，本地验证
有些单机游戏甚至是网游，都直接跳过了3~7步骤，在第2步拿到receipt-data之后，直接由客户端向itunes.appstore发送验证请求，并且拿到结果，根据结果修改游戏数据。
我们在设计游戏的时候都遵循一个真理，&凡是在客户端的数据都是不安全的&，深以为然。如果没有独立服务器辅助验证，这样也就避免不了数据被修改的事实了，是的，你会少赚钱。不过如果网游也不通过独立服务器验证，而是在客户端验证之后再告知服务器状态让其发放游戏道具，那就太可怕了点。这是IAP built-in Model，经常出现安全问题的逻辑如下：
void paymentQueue(...)
if (transaction != nullptr)
me.money += 1000;
上面的代码在接收到付费成功的response就直接给游戏发放商品，不对产品和单据进行验证。如果receipt-data允许放在本地验证，就可能发生我们说的免费内购的BUG. 而实际上也真的有类似IAPCracker/IAPFree等工具专门利用这样的IAP漏洞的。而对于已经越狱了的iOS设备就太简单了，甚至不需要通过伪造或者跳过receipt-data验证就可以修改本地数据达到目的。
那是不是就完全不能让这个过程变得安全了呢？也不是，但这个安全保障只是让修改变得困难而已。苹果官方提供了&Validating Receipts Locally&在客户端对receipt-data进行安全验证，主要是对证书以及签名的合法性验证。如果不想自己写代码验证，也可以借助第三方机构提供的receipt-data验证API，比较著名的有&&urbanairship和&&beeblex&。
但如果能伪造一个完全合法的receipt-data，是不是一样可以达到欺骗目的。是的，为了绕过Validating Locally，于是开始用自己伪造的receipt-data进行移花接木，所以出现了可以伪造&合法订单&的&in-appstore&。因此这种本地加强验证的方法也不能完全避免IAP攻击。
IAP Server Model，服务器验证
而如果我们把验证逻辑移到服务器上，这个过程就变得容易多了。因为不再需要担心receipt-data被伪造的问题。不过就算把步骤4～7在服务器上做了，同样也会产生一些幼稚的逻辑：
对验证receipt-data的reponse content不进行验证和记录，只根据Product直接发放商品。这样只要客户端不断提交receipt-data，按照正常逻辑你就需要不断验证并且重复发放商品。较为安全的做法是：
在每一次收到receipt-data之后，都把提交的玩家账号以及receipt-data中的单号建立映射并记录下来，在每次验证receipt-data时，先判断其是否已经存在。
只要做了这样的验证，整个支付流程都变得明朗起来。
确保receipt-data的成功提交与异常处理
建立在IAP Server Model的基础上，并且我们知道手机网络是不稳定的，在付款成功后不能确保把receipt-data一定提交到服务器。如果出现了这样的情况，那就意味着玩家被appstore扣费了，却没收到服务器发放的道具。
解决这个问题的方法是在提交receipt-data的协议上设一个返回值，让服务端告知它已经成功收到并验证了receipt-data. 在没有收到这样的回复之前，客户端必须要把receipt-data保存好，并且定期向服务端发起请求，直至收到服务端的回复为止。
如果是客户端没成功提交receipt-data，那怎么办？就是玩家被扣费了，也收到appstore的消费收据了，却依然没收到游戏道具，于是投诉到游戏客服处。
这种情况在以往的经验中也会出现，常见的玩家和游戏运营商发生的纠纷。游戏客服向玩家索要游戏账号和appstore的收据单号，通过查询itunes-connect看是否确有这笔订单。如果订单存在，则要联系研发方去查询游戏服务器，看订单号与玩家名是否对应，并且是否已经被使用了，做这一点检查的目的是&为了防止恶意玩家利用已经使用过了的订单号进行欺骗&，谎称自己没收到商品。这就是上面一节IAP Server Model中红字所提到的安全逻辑的目的。当然了，如果查不到这个订单号，就意味着这个订单确实还没使用过，手动给玩家补发商品即可。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'Apple Pay真的来了 你知道苹果支付怎么用吗
来源：i黑马 责任编辑：ranhao
几百块钱，几张，一部，这可能是当下人们在出门的时候必备的几样东西。
但有的人可能会说，我出门基本不带现金，靠手机就能全部解决，因为它足够方便。是的，在现在来讲手机已经可以代替钱包的功能，它源于一项——移动支付。
日，支付宝推出业务。日微信支付功能上线，这表示从2008年中国正式进入移动支付时代。通过移动支付功能你可以在手机上进行线上购物，缴费等，也可以通过线下扫码方式进行移动支付。
随着和支付技术的普及，各大厂商和商家也纷纷瞄准了移动支付。
今日，期待已久的支付正式在华上线，这表明苹果支付正式进军中国市场。对于苹果来说，进军中国是一件极其重要的事情，想以此分得一杯移动支付的美羹。难道苹果想借机抗衡支付宝和微信？
其实，ApplePay相对支付宝和微信支付来说，完全是两回事。你并不能往ApplePay里面充值，说的直观一点，它就是一个单纯的“卡包”，它的功能就是把实体的银行卡虚拟到你的手机里。
支付原理不同
日，在苹果秋季发布会上，库克发布了基于NFC功能的ApplePay。NFC是一种近场通讯技术，由RFID（无线射频识别）演化而来，它是移动支付最主要的功能，这项技术的出现可以让人们在支付时完全原理刷卡POS机，你完全可以把NFC技术理解成为公交卡、门禁卡，只需一“碰”便可完成支付，非常便捷。
首先，我们先了解一下移动支付的定义：利用移动设备的特定技术，允许用户直接通过移动设备购买商品或服务，实现货币交换的体系。目前的移动支付主要有三大技术形态，分别为NFC支付、刷卡支付和应用支付。
支付宝与ApplePay的区别
苹果使用的正式NFC支付技术，而支付宝和微信基本是通过应用来支付的，它们究竟有何不同？
首先，他们的区别在于在线和离线。
ApplePay在移动支付时不需要打开App或唤醒屏幕，也不需要网络支持，而是通过NFC技术，将iPhone靠近支持闪付的POS终端，同时验证指纹，即可完成支付，同时ApplePay也可在线上应用商店或某个App中进行支付。
而支付宝和微信则需要打开其相应的应用，连接网络，通过二维码、声波或绑定的银行卡进行支付，不分线上线下。
另外，他们的区别还在于支付技术的不同。首先，我们来讲讲传统支付技术和支付宝的支付技术差异。
通过查阅资料我们得知，传统的银行支付体系包含商家、收单方、卡组织、发卡行和顾客五个要素。这五者中，顾客和商家指买卖双方，发卡行是指办银行卡的银行，卡组织简单来说就是银联，它提供不同银行间的资金清算服务。
比如，你从招商银行的ATM上取出工商银行的钱，这个钱会先由招商银行先行垫付，再由卡组织向工商银行索取来还给招商银行，这其实就是的影子。而收单方，是提供商家和发卡行之间的资金清算服务，商家的POS机基本是由收单方提供的。
而支付宝和微信的支付过程等于踢掉了收单方、卡组织，直接对接银行进行交易，本来在这个过程中，发卡行和收单方可吸纳用户手续费，但支付宝和微信的这种方式将原本属于收单方、卡组织的“生意”硬生生的挤掉了，难怪惹得银联很生气。
而ApplePay与支付宝、微信支付不同，用户并不能往ApplePay里充值，所以ApplePay自然不会涉及自有资金的管理和清算，不仅不伤及银联的利益，甚至更加稳固银联的利益，所以银联很乐意ApplePay入华。
ApplePay杀出疆场，安全性提升
在过去的几年中，微信支付日、支付宝日以及各种红包、补贴活动，让人们已经对手机支付不再陌生。甚至有网友说，支付宝和微信支付刚刚教会全国人民用扫码支付，如今ApplePay突然杀出来，它究竟有什么优势会让用户去买单？
那么我们就来说说ApplePay的原理和它先进的安全性。
从表面来讲，ApplePay并不是简单的一种技术，而是集合了NFC、TouchID身份验证技术和传输加密技术，实现了从银行卡到支付POS机的安全信息传输。
指纹授权→生成支付请求→将加密数据通过NFC传送到支付终端→返回结果，实现了端到端的安全。
如果，从深层次来说，ApplePay得益于一种叫做Tokenization（凭证化）技术，它便可将银行卡信息转化成Token（令牌）存在手机中。Token其实说的更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作。
Tokenization是专门为ApplePay所设计的，它只会生成唯一的数字编码，同时令牌是经过加密的，因此它不会让苹果与商家中的任何一方知道你的银行卡信息。大大提高了支付的安全性。
ApplePay在引入的Token体系中，除了刚刚提到的传统支付参与方外，还新增了2个参与方，分别是令牌请求方（TokenRequestor）和令牌服务提供方（TokenSP）。
Token服务提供方根据TokenRequestor提供的PAN（主帐号）生成Token后，将Token作为主账号的替代值流转在支付的各个环节，使得在支付流程中，独一无二的主账号只在令牌服务提供方、转接方和发卡方间传递。
当有支付产生时，手机就会通过凭证化技术随机生成一个令牌和一组动态安全码发至银行，银行再通过令牌服务将其还原成银行卡从而回传并授权，以此完成支付。当令牌被到风险或到期时，将再次生成新令牌替代旧令牌，从而大幅降低支付过程中主账号泄漏的可能性，提高了安全性。
因此，在整个支付流程中令牌变得尤为重要，通俗讲，令牌相当于“通行证”，而密钥信息通常来源于电商支付网关，这种“沟通”方式称为网络级令牌化。
网络级令牌化使得一个令牌能在不同商户间使用，既可用于在线支付，也可用于离线支付，增加了便利性与安全性
在Token体系中，核心数据如图：
那么，ApplePay是如何用Token进行支付的呢？它经过了两个流程：注册和应用。
令牌注册流程：
NFC终端传递主账号至令牌请求方→令牌请求方向令牌服务商发起令牌申请，发送主账号→令牌服务商根据主账号生成对应的令牌并返回至令牌请求方，同时建立主账号至令牌的副本存储在令牌库中→令牌发起方将返回的令牌传递至NFC终端完成注册。
令牌应用流程：
令牌发起至NFC终端，依次经过POS、收单方、转接方→转接方通过令牌服务商，发送令牌至令牌服务商→令牌服务商对令牌进行去令牌操作，并将主账号传递至转接方→转接方将令牌和主账号一同发至发卡方→发卡方用令牌库进行验证→通过后将主账号传递至转接方→转接方开始将主账号依次传递至收单方和POS，之后令牌作为主账号的替代值继续后续的交易流程。
通过以上流程我们可以看到，在交易过程中，主账号的传递仅传递在令牌服务商、发卡方和转接方三者之间，并且这三者间是互信的专线连接，令牌作为主账号的替代品，大幅降低了账号泄漏的风险。
ApplePay还有机会“抢地盘”吗？
以支付宝、微信为代表的机构早已经占领移动支付市场的高地，但他们却都集中在线上支付，线下移动支付则成了支付宝和微信一直争夺的焦点。
2014年以来，支付宝、微信持续“抢滩”线下移动支付，而中国银联的市场份额被不断蚕食。银联既然在在线支付的业务没做好，那么它自然不会放过线下支付的入口。在前文中我们已经提到，因为ApplePay涉及不到银联的利益问题，因此银联很乐意和Apple进行合作推出这一服务，可谓掀起了一场“支付战”。
中国银联自2006年开始推广NFC支付方案，以NFC为代表的近场支付虽然一直被业界看好，但始终没能有效推动。原因在于NFC产业链庞大，既包括支付机构也包括终端生产商等硬件制造者。
而对于ApplePay入华与银联的合作，有可能改变NFC支付的局面，苹果可以从技术层面推动全产业链的向前发展，尤其是近场支付技术。因此可以预见，2016年将是NFC支付的开局之年，华为Pay、小米Pay、中兴Pay等各手机企业的支付应用也将问世参与“战斗”。
如商家带有Pay的LOGO贴纸便可使用ApplePay
虽然苹果支付的优点很多，但弱点也显而易见，首先，ApplePay需要一个完善的支付体系做支撑，同时如果想使用ApplePay则必须采用带有“闪付”功能的POS机，而普通的POS是无法使用的。因此这对有“闪付”功能的POS机覆盖率有着极高要求，所以ApplePay入华后，仍面临着如何在线下快速扩张使用的严峻问题。
业界普遍认为，目前，支付宝和财富通分别拥有了70%和19%左右的市场份额，苹果支付要想和这两者抗衡，仍有很长的路要走。高昂的设备成本是其中一个重要原因。苹果公司曾依靠手机价格门槛定高收入阶层，其独具的iOS系统成为制胜法宝，但这个法宝却不利于苹果支付的推广。此外，用户习惯需要苹果公司自行去培养，现在支付宝、微信支付是主流的支付方式，会给很多商家和用户进行补贴，但苹果支付可能不会采取补贴方式。
同时，NFC支付能否得到市场认可，还存在一定不确定性。一种支付习惯的改变并非一蹴而就，需要非常长的培养过程。
ApplePay，AreYouReady？
中商情报网版权及免责声明：
1、凡本网注明 “来源：***（非中商情报网）” 的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。
2、如因作品内容、版权和其它问题需要同本网联系的，请在30日内进行。
3、征稿：中商情报网面向全国征集创业、财经、产业等原创稿件，并为创业者创业项目、产品、人物提供免费报道！中商创业交流QQ群：<font color="#ff163&&
相关事宜请联系：4 邮箱：
大家都爱看
即将于6月16日开幕的上海迪士尼乐园目前已处在测试与调整......
2015年，黑龙江、吉林和辽宁的名义GDP增长率分别为-0.29%......
游族网络年报拟推10转20
游族网络2月17日晚间公告......
壳资源的六大特征
如果成为一个好“壳”?第一要有成为壳的......
根据初步统计，初八报收2.97亿；
#美人鱼#1.69亿，......
根据初步统计，初九报收2.64亿；
#西游记之孙悟空三......
在前天微信支付突然宣布提现要收费了，一时间引起轩然大波让网友......
根据初步统计，初九报收2.64亿；
#美人鱼#1.48亿，......
日全国各地鸡蛋淘汰鸡最新价格行情走势
河南安......
日全国92/93号汽油最新价格行情（单位：元/升）Apple Pay(苹果支付)是什么意思？什么手机型号可以用-闽南网
Apple Pay(苹果支付)是什么意思？什么手机型号可以用
来源:证券时报网
　　2月18日，苹果支付（Apple Pay）将正式入华【】。
　　昨日上午，市场上就开始传出关于&苹果支付将于2月18日上线&的消息，建设银行、广发银行均成为&率先上线&的对象。但是，苹果方面对相关消息并未予以表态。
　　据北京晨报消息，记者昨日致电广发银行总行，相关负责人表示，&具体时间还不能说，现在还处于保密阶段。不过应该就在这两天了。&随后，另一家全国股份制银行知情人士向记者坦言，目前银行说是&2月18日上线&，但最终时间不知是否有变。
　　据了解，首批接入苹果支付的银行共有19家。除了此前公布的工行、建行、广发、中信等15家银行外，苹果官网的ApplePay页面又新增加了交通银行、北京银行、宁波银行、华夏银行等4家中资银行【】。
　　对于即将上线的Apple Pay到底是个什么鬼，小编带您来了解下。
1、Apple Pay到底是什么
　　首先有一点，大家必须搞清楚，ApplePay相对支付宝和微信支付来说，完全是两回事。
　　你并不能往ApplePay里面充值，说的更直白一点，它就是一个&卡包&，它的功能就是把实体的银行卡虚拟到你的手机里。
　　所以，ApplePay也不会涉及自有资金的管理和清算，不会参与买卖双方交易的任何环节。
2、所有苹果手机都能用么
　　由于需要支持NFC功能，所以只限于以下机型：、、iPhone 6、iPhone 6 Plus和
3、可以绑定储蓄卡么
　　苹果ApplePay是基于NFC技术实现的，它仅是通过SE安全芯片以及Tokenization随机字符串技术，取代实际的物理信用卡（国内ApplePay暂时只支持信用卡，储蓄卡还需要等待）本身 ，同时以TouchID指纹识别取代支付时的输入密码过程。
4、银联的POS机都能用么
　　必须是有闪付功能的POS机，目前市面上新点的都有这个功能。【】
　　（本文参考北京晨报、差评微信号）
48小时点击排行榜苹果一直显示无法链接iuntes store_iphone吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：1,668,351贴子：
苹果一直显示无法链接iuntes store收藏
大学生们注意啦!一大批流量来袭!现办理4G飞享套餐,每月返1GB,畅刷不停！
我也是这种情况，从昨晚就开始有了，来贴吧看看有没有同样问题的
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或