導致成功購買產品的每個Microsoft市集交易都可以選擇性地傳回交易收據。 此收據會向客戶提供列出的產品和貨幣成本的相關信息。
存取這項資訊可支援您的應用程式需要確認使用者購買您的應用程式,或已從 Microsoft 市集進行附加元件(也稱為應用程式內產品或 IAP)購買的案例。 例如,假設遊戲提供下載的內容。 如果購買遊戲內容的使用者想要在不同的裝置上播放遊戲內容,您必須確認使用者已擁有內容。 以下是做法。
這很重要
本文說明如何使用 Windows.ApplicationModel.Store 命名空間的成員來取得和驗證應用程式內購買的收據。 如果您使用 Windows.Services.Store 命名空間進行應用程式內購買(此命名空間在 Windows 10 版本1607中引入,適用於以Windows 10 週年更新版(10.0; 14393號版本) 或更新版本為目標的專案),該命名空間不提供取得應用程式內購買收據的API。 不過,您可以使用 Microsoft Store 集合 API 中的 REST 方法來取得購買交易的數據。 如需詳細資訊,請參閱 應用程式內購買收據。
要求收據
Windows.ApplicationModel.Store 命名空間支援數種方式來取得收據:
- 當您使用 CurrentApp.RequestAppPurchaseAsync 或 CurrentApp.RequestProductPurchaseAsync(或此方法的其他多載)進行購買時,傳回值會包含收據。
- 您可以呼叫 CurrentApp.GetAppReceiptAsync 方法來擷取您應用程式及其任何附加元件的目前收據資訊。
應用程式收據看起來像這樣。
備註
此範例的格式設定為協助讓 XML 可讀取。 實際應用程式收據不包含元素之間的空格符。
<Receipt Version="1.0" ReceiptDate="2012-08-30T23:10:05Z" CertificateId="b809e47cd0110a4db043b3f73e83acd917fe1336" ReceiptDeviceId="0a0a0a0a-1111-bbbb-2222-3c3c3c3c3c3c">
<AppReceipt Id="8ffa256d-eca8-712a-7cf8-cbf5522df24b" AppId="55428GreenlakeApps.CurrentAppSimulatorEventTest_z7q3q7z11crfr" PurchaseDate="2012-06-04T23:07:24Z" LicenseType="Full" />
<ProductReceipt Id="6bbf4366-6fb2-8be8-7947-92fd5f683530" ProductId="Product1" PurchaseDate="2012-08-30T23:08:52Z" ExpirationDate="2012-09-02T23:08:49Z" ProductType="Durable" AppId="55428GreenlakeApps.CurrentAppSimulatorEventTest_z7q3q7z11crfr" />
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
<DigestValue>cdiU06eD8X/w1aGCHeaGCG9w/kWZ8I099rw4mmPpvdU=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>SjRIxS/2r2P6ZdgaR9bwUSa6ZItYYFpKLJZrnAa3zkMylbiWjh9oZGGng2p6/gtBHC2dSTZlLbqnysJjl7mQp/A3wKaIkzjyRXv3kxoVaSV0pkqiPt04cIfFTP0JZkE5QD/vYxiWjeyGp1dThEM2RV811sRWvmEs/hHhVxb32e8xCLtpALYx3a9lW51zRJJN0eNdPAvNoiCJlnogAoTToUQLHs72I1dECnSbeNPXiG7klpy5boKKMCZfnVXXkneWvVFtAA1h2sB7ll40LEHO4oYN6VzD+uKd76QOgGmsu9iGVyRvvmMtahvtL1/pxoxsTRedhKq6zrzCfT8qfh3C1w==</SignatureValue>
</Signature>
</Receipt>
產品收據看起來像這樣。
備註
此範例的格式設定為協助讓 XML 可讀取。 實際產品收據不包含元素之間的空格符。
<Receipt Version="1.0" ReceiptDate="2012-08-30T23:08:52Z" CertificateId="b809e47cd0110a4db043b3f73e83acd917fe1336" ReceiptDeviceId="0a0a0a0a-1111-bbbb-2222-3c3c3c3c3c3c">
<ProductReceipt Id="6bbf4366-6fb2-8be8-7947-92fd5f683530" ProductId="Product1" PurchaseDate="2012-08-30T23:08:52Z" ExpirationDate="2012-09-02T23:08:49Z" ProductType="Durable" AppId="55428GreenlakeApps.CurrentAppSimulatorEventTest_z7q3q7z11crfr" />
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256" />
<DigestValue>Uvi8jkTYd3HtpMmAMpOm94fLeqmcQ2KCrV1XmSuY1xI=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>TT5fDET1X9nBk9/yKEJAjVASKjall3gw8u9N5Uizx4/Le9RtJtv+E9XSMjrOXK/TDicidIPLBjTbcZylYZdGPkMvAIc3/1mdLMZYJc+EXG9IsE9L74LmJ0OqGH5WjGK/UexAXxVBWDtBbDI2JLOaBevYsyy+4hLOcTXDSUA4tXwPa2Bi+BRoUTdYE2mFW7ytOJNEs3jTiHrCK6JRvTyU9lGkNDMNx9loIr+mRks+BSf70KxPtE9XCpCvXyWa/Q1JaIyZI7llCH45Dn4SKFn6L/JBw8G8xSTrZ3sBYBKOnUDbSCfc8ucQX97EyivSPURvTyImmjpsXDm2LBaEgAMADg==</SignatureValue>
</Signature>
</Receipt>
您可以使用其中一個收據範例來測試您的驗證程式代碼。 如需收據內容的詳細資訊,請參閱 元素和屬性描述。
驗證收據
若要驗證收據的真實性,您需要後端系統(Web 服務或類似專案),才能使用公開憑證來檢查收據的簽章。 若要取得此憑證,請使用 URL https://lic.apps.microsoft.com/licensing/certificateserver/?cid=CertificateId%60%60%60,其中 CertificateId 是收據中的 CertificateId 值。
以下是該驗證程式的範例。 此程式代碼會在 .NET Framework 控制台應用程式中執行,其中包含對 System.Security 組件的引用。
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Security.Cryptography;
using System.Security.Cryptography.X509Certificates;
using System.Xml;
using System.IO;
using System.Security.Cryptography.Xml;
using System.Net;
namespace ReceiptVerificationSample
{
public sealed class RSAPKCS1SHA256SignatureDescription : SignatureDescription
{
public RSAPKCS1SHA256SignatureDescription()
{
base.KeyAlgorithm = typeof(RSACryptoServiceProvider).FullName;
base.DigestAlgorithm = typeof(SHA256Managed).FullName;
base.FormatterAlgorithm = typeof(RSAPKCS1SignatureFormatter).FullName;
base.DeformatterAlgorithm = typeof(RSAPKCS1SignatureDeformatter).FullName;
}
public override AsymmetricSignatureDeformatter CreateDeformatter(AsymmetricAlgorithm key)
{
if (key == null)
{
throw new ArgumentNullException("key");
}
RSAPKCS1SignatureDeformatter deformatter = new RSAPKCS1SignatureDeformatter(key);
deformatter.SetHashAlgorithm("SHA256");
return deformatter;
}
public override AsymmetricSignatureFormatter CreateFormatter(AsymmetricAlgorithm key)
{
if (key == null)
{
throw new ArgumentNullException("key");
}
RSAPKCS1SignatureFormatter formatter = new RSAPKCS1SignatureFormatter(key);
formatter.SetHashAlgorithm("SHA256");
return formatter;
}
}
class Program
{
// Utility function to read the bytes from an HTTP response
private static int ReadResponseBytes(byte[] responseBuffer, Stream resStream)
{
int count = 0;
int numBytesRead = 0;
int numBytesToRead = responseBuffer.Length;
do
{
count = resStream.Read(responseBuffer, numBytesRead, numBytesToRead);
numBytesRead += count;
numBytesToRead -= count;
} while (count > 0);
return numBytesRead;
}
public static X509Certificate2 RetrieveCertificate(string certificateId)
{
const int MaxCertificateSize = 10000;
// Retrieve the certificate URL.
String certificateUrl = String.Format(
"https://go.microsoft.com/fwlink/?LinkId=246509&cid={0}", certificateId);
// Make an HTTP GET request for the certificate
HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(certificateUrl);
request.Method = "GET";
HttpWebResponse response = (HttpWebResponse)request.GetResponse();
// Retrieve the certificate out of the response stream
byte[] responseBuffer = new byte[MaxCertificateSize];
Stream resStream = response.GetResponseStream();
int bytesRead = ReadResponseBytes(responseBuffer, resStream);
if (bytesRead < 1)
{
//TODO: Handle error here
}
return new X509Certificate2(responseBuffer);
}
static bool ValidateXml(XmlDocument receipt, X509Certificate2 certificate)
{
// Create the signed XML object.
SignedXml sxml = new SignedXml(receipt);
// Get the XML Signature node and load it into the signed XML object.
XmlNode dsig = receipt.GetElementsByTagName("Signature", SignedXml.XmlDsigNamespaceUrl)[0];
if (dsig == null)
{
// If signature is not found return false
System.Console.WriteLine("Signature not found.");
return false;
}
sxml.LoadXml((XmlElement)dsig);
// Check the signature
bool isValid = sxml.CheckSignature(certificate, true);
return isValid;
}
static void Main(string[] args)
{
// .NET does not support SHA256-RSA2048 signature verification by default,
// so register this algorithm for verification.
CryptoConfig.AddAlgorithm(typeof(RSAPKCS1SHA256SignatureDescription),
"http://www.w3.org/2001/04/xmldsig-more#rsa-sha256");
// Load the receipt that needs to be verified as an XML document
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.Load("..\\..\\receipt.xml");
// The certificateId attribute is present in the document root, retrieve it
XmlNode node = xmlDoc.DocumentElement;
string certificateId = node.Attributes["CertificateId"].Value;
// Retrieve the certificate from the official site.
// NOTE: For sake of performance, you would want to cache this certificate locally.
// Otherwise, every single call will incur the delay of certificate retrieval.
X509Certificate2 verificationCertificate = RetrieveCertificate(certificateId);
try
{
// Validate the receipt with the certificate retrieved earlier
bool isValid = ValidateXml(xmlDoc, verificationCertificate);
System.Console.WriteLine("Certificate valid: " + isValid);
}
catch (Exception ex)
{
System.Console.WriteLine(ex.ToString());
}
}
}
}
收據的項目和屬性描述
本節描述收據中的元素和屬性。
Receipt 元素
此檔案的根元素是 收據 元素,其中包含應用程式和應用程式內購買的相關信息。 這個專案包含下列子專案。
| 元素 | 為必填項目 | 數量 | 說明 |
|---|---|---|---|
| 應用收據 | 否 | 0 或 1 | 包含目前應用程式的購買資訊。 |
| 產品收據 | 否 | 0 或更多 | 包含目前應用程式內購買的相關信息。 |
| 簽名 | 是的 | 1 | 這個元素是標準 XML-DSIG 構造。 它包含 SignatureValue 元素,其中包含可用來驗證收據的簽章,以及 SignedInfo 元素。 |
收據 具有下列屬性。
| 屬性 | 說明 |
|---|---|
| 版本 | 收據的版本號碼。 |
| CertificateId | 用來簽署收據的憑證指紋。 |
| 收據日期 | 收據簽署及下載的日期。 |
| 收據設備ID | 識別要求此收據的裝置。 |
AppReceipt 元素
這個元素包含目前應用程式的購買資訊。
AppReceipt 具有下列屬性。
| 屬性 | 說明 |
|---|---|
| 標識碼 | 確認購買。 |
| AppId | 作業系統用於應用程式的套件系列名稱值。 |
| 許可類型 | 完整,若使用者購買了應用程式的完整版。 試用版,如果使用者下載了應用程式的試用版。 |
| 購買日期 | 取得應用程式的日期。 |
ProductReceipt 元素
此元素包含目前應用程式內購買的相關資訊。
ProductReceipt 具有下列屬性。
| 屬性 | 說明 |
|---|---|
| 標識碼 | 確認購買。 |
| AppId | 識別使用者透過該應用程式進行購買。 |
| ProductId | 識別購買的產品。 |
| 產品類型 | 決定產品類型。 目前僅支援 Durable的值。 |
| 購買日期 | 購買發生的日期。 |