保护付费iPhone应用程序所需的外部资源

我认为你的建议与我的建议是一致的。

以AmazonS3链接过期方法为例。我用PHP编写了以下帮助程序来生成这些链接(与Zend框架的Zend_uuuuuuuCrypt_uuuuuuhmac一起使用,请参见 http://framework.zend.com/wiki/pages/viewpage.action?pageId=35309 有关详细信息:

    public function getExpiredQueryString($objectName, $expireTime, $bucketName){
          $stringToSign = "GET\n\n\n$expireTime\n/$bucketName/tracks/$objectName";
          $hashedSignature = Zend_Crypt_Hmac::compute(self::AMAZON_AWS_SECRET_KEY, 'sha1', utf8_encode($stringToSign));
          $signature = urlencode($this->_hex2b64($hashedSignature));

          $url = 'http://' . $bucketName . '.s3.amazonaws.com/tracks/' . $objectName . '?AWSAccessKeyId=' . self::AMAZON_AWS_KEY . '&Expires=' . $expireTime . '&Signature=' . $signature; 
          return $url;
    }

以下是Hex2b64的内容(不是原始的,但有助于查看):

    private function _hex2b64($str){
          $raw = '';
          for ($i=0; $i < strlen($str); $i += 2)
          {
              $raw .= chr(hexdec(substr($str, $i, 2)));
          }
          return base64_encode($raw);   
     }

它的长处和短处在于,您可以创建一个标记化的链接结构,该结构可能在数据库表(例如)中有一个TTL,用于对用户进行身份验证和对资产的下载/流进行授权。

就可伸缩性而言,您需要探索所有选项,包括选择数据库、Web服务器、操作系统、服务器端代码库的总体效率等。这是一个更大的讨论。

希望这有帮助!

您可以免费提供应用程序,并在购买应用程序时提供视频。有一个API,您的服务器可以使用它来验证IAP收据,以确保客户实际上通过Apple合法购买了该商品。

您可以让iPhone应用程序向包含其IP地址的服务器发送请求;然后,在您的服务器上,返回只允许访问该IP的下载URL。

阅读 Server Product Model 和 Verifying Store Receipts 应用程序内购买编程指南的章节。它解释了如何以一种相当安全的方式完成这项工作。

我发现加密数据工作得很好。让iPhone发送随机密钥,在服务器上用该密钥加密,在iPhone上解密。在CBC模式下使用AES,128位。如果你想要更好的性能,你可以考虑只加密文件的一部分,比如说10%的块均匀分布在文件上,这是一个折衷的结果,视频将不值得观看与节省的加密时间。