问题:iOS内购漏单的问题

事由：

不久前，有用户反映，大概意思是这样：苹果扣款成功了，但是没有发放应得的内购产品，这钱花哪去了？

这是一个严重的漏单问题，已经得到了及时解决，现写篇文章总结一下。

原理概念:

IAP：是指In-App Purchase，顾名思义，一种应用内的支付（内购）。但IAP不是特指苹果的内购支付方式，应用也可以有其自己的内购支付方式。

这里来说一下Apple的IAP。下图是苹果内购的支付流程图。

支付流程解释

1.客户端向Appstore请求购买产品，Appstore验证产品成功后，从客户端的Apple账户中扣费。

2.Appstore向客户端返回一段receipt-data（票据），里面记录了本次交易的证书和签名信息。

3.客户端向我们可以信任的服务器（后台）提供receipt-data

4.服务器对receipt-data进行一次base64编码

5.把编码后的receipt-data发往itunes.appstore进行验证

6.itunes.appstore返回验证结果给服务器

7.服务器对商品购买状态以及商品类型，向客户端发放相应的道具与推送数据更新通知

问题:

以上七个步骤实际上是一个很安全的支付流程了。那问题会出在哪里呢？

出现的两种验证方式：

IAP built-in Model(本地验证)：此种方式跳过来3-7步，在第2步中拿到票据直接向itunes.appstore请求验证票据，根据票据的结果来修改数据。有一些单机游戏因为不涉及后台服务器会采取此种方式，但由此单来的不安全也很明显，比如一些越狱的手机会很容易对此进行一些数据操作。这里暂不做讨论。

IAP Server Model(服务器验证)：如果把数据放在服务器做校验（如实走完1-7的流程），就不用担心客户端出现伪造票据等问题。但是这样还会出现问题。

想象一下，如果得到票据说明苹果已经扣款成功，就在这时向服务器发送票据验证的时候出现来异常，这个时候可能网络突然断了，未把票据发送的服务器验证，导致明明已经扣了款，却没有收到相应的内购产品，出现了漏单问题。

所以如何解决此问题？解决流程如下

一：得到票据，立即保存本地，并向服务器验证

二：验证成功，删除本地保存数据。若未成功，再次验证重试。

三：APP重启时，如有本地票据则与服务器进行认证，若认证成功则删除票据。

四：若以上流程还未能解决漏单问题，则可在APP增加类似找回按钮，依据本地保存票据进行找回（流程三）。

注：服务器需建立表单记录票据数据，避免多次增加内购产品。