애플, 구글 마켓 연동 (부제 : 인앱 결재 영수증 확인 A to Z)

하튼 뭔가 딱 찾아지는 구석이 없다. 애도 적당히 태워야지. 아무리 검색하고 찾아봐야 고만고만한 놈들에 긴가민가해도 확인해보면 아닌 놈들 뿐이다.

애플, 그러니까 iOS 인앱 결재 영수증 확인 루틴은 간단하다.

주어진 URL이 있고, 거기에 HTTP-OVER-SSL로 JSON Body를 만들어서 던져주면 된다. 라이브러리 써서 빵빵빵 때리면 아주 간단한 문제다. 쓰기 싫다고 해도 그냥 cURL 정도는 쓰는걸로 하자. OpenSSL로 SSL 터널링 구현하다가 머리 다 빠지지 말고.

참고 사이트 : https://developer.apple.com/library/ios/releasenotes/General/ValidateAppStoreReceipt/Chapters/ValidateRemotely.html#//apple_ref/doc/uid/TP40010573-CH104-SW1 (iOS는 걍 이것만 보면 됨.)

참고 사이트 : http://curl.haxx.se/libcurl/c/ (libcurl 사이트. 이정도는 그냥 써주는거다. 아래 샘플 봐봐. 아름답잖아.)

CURL *pstCUrl = curl_easy_init(); struct curl_slist *g_pstCUrlHeaders = NULL; char szPost[MAX_APPLE_HTMLREQ]; sprintf(szPost, "{\n \"receipt-data\":\"%s\"\n}", szReceiptData); curl_slist_append(g_pstCUrlHeaders, "Content-Type: application/json"); curl_easy_setopt(pstCUrl, CURLOPT_URL, "https://sandbox.itunes.apple.com/verifyReceipt"); // 위는 빌링 테스트용 샌드박스. https://buy.itunes.apple.com/verifyReceipt 실전은 여기다. curl_easy_setopt(pstCUrl, CURLOPT_POSTFIELDSIZE, strlen(szPost)); curl_easy_setopt(pstCUrl, CURLOPT_COPYPOSTFIELDS, szPost); curl_easy_setopt(pstCUrl, CURLOPT_HTTPHEADER, g_pstCUrlHeaders); curl_easy_setopt(pstCUrl, CURLOPT_SSL_VERIFYPEER, 0L); curl_easy_setopt(pstCUrl, CURLOPT_SSL_VERIFYHOST, 0L); curl_easy_setopt(pstCUrl, CURLOPT_PRIVATE, pstMsgQ); curl_easy_setopt(pstCUrl, CURLOPT_WRITEDATA, ...); curl_easy_setopt(pstCUrl, CURLOPT_WRITEFUNCTION, dWrite_CUrlHtml); curl_easy_perform(pstCUrl);

이렇게 보내면 당연히 응답이 오겠지. 뭐 간단한 샘플이라면..

{"status":0, "environment":"Sandbox", "receipt":{"receipt_type":"ProductionSandbox", "adam_id":0, "bundle_id":"com.demo.game", "application_version":"1.0.00", "download_id":0, "request_date":"2014-05-21 00:56:35 Etc/GMT", "request_date_ms":"1400633795882", "request_date_pst":"2014-05-20 17:56:35 America/Los_Angeles", "in_app":[ {"quantity":"1", "product_id":"com.demo.game.item.1", "transaction_id":"1000000...", "original_transaction_id":"1000000...", "purchase_date":"2014-05-13 09:42:44 Etc/GMT", "purchase_date_ms":"1399974164000", "purchase_date_pst":"2014-05-13 02:42:44 America/Los_Angeles", "original_purchase_date":"2014-05-13 09:42:43 Etc/GMT", "original_purchase_date_ms":"1399974163000", "original_purchase_date_pst":"2014-05-13 02:42:43 America/Los_Angeles", "is_trial_period":"false"}]}}

뭐 IOS에서 영수증 중복 체크 이런거 요구한다는데, original_transaction_id 로 중복 처리 루틴만 간단히 만들고. 패스.

이젠 안드로이드 차례다. 구글의 영수증 인증은 ... 잠깐. 뒤에서 욕좀 하고.

기본적으로 Google Play Android Developer API라는 것을 써야 한다고 한다.

참고 사이트 : https://developers.google.com/android-publisher/v1_1/ (기본적으로 요걸 쓰는거다)

그런데 이걸 쓰려면 두가지 난관이 있다. 하나는 프로젝트를 만드는 것이고, 또 하나는 OAuth2 인증을 얻는 것이다. 일단 차례대로 해보면, Google Developer Console에서 저 API를 활성화 시켜야 한다. 가만 보자. Developer Console이라면..

요건 다들 알거다. 안드로이드 앱을 만들고 구글 플레이를 통해서 배포한다면, 당연히 이걸 써야 하거든. 그런데 이게 아니다.

요거다. Google Developers Console. 처음에 들어가면 아무것도 없고 프로젝트를 만들라고 한다. 잠깐. 우리는 이미 Google Play Developers Console에 프로젝트가 있다. 그런데 여기서 다시 만들면 그거 연동은 어떻게 되는거지?

결론부터 말하면 그런 연동같은거 없다. 앱은 앱대로 별개, 영수증 확인 API는 API 대로 별개다. 그래서 별도로 프로젝트를 만들어야 하는거다. 이 프로젝트 만들고 어떤 회사 어떤 게임 영수증이건 그냥 확인하면 된다. 사실 우리꺼 아니면 필요없으니 뻘짓이지만. 어떻게 보면 그것도 맞긴 하다. 굳이 우리 게임 영수증만 확인하는 API는 필요없지. 이게 어떤거든 안가리고 다 확인해준다면.

(추가 : Consent screen 항목에 들어가서 PRODUCT NAME 항목이 비어 있는지는 꼭 확인해야 한다. 이것이 비어 있으면 AuthCode 발급이 안된다.)

콘솔에 프로젝트를 만들면 위의 APIs라고 되어 있는 항목에 들어가서 Google Play Android Developer API 를 활성화 시켜준다. 기본값은 사용하지 않는 것이므로 무조건 필요하다. 그 다음에 위에 체크된 것 처럼 Credentials 탭에서 저기 보이지? 빨간 CREATE NEW CLIENT ID를 클릭한다.

이거다. Installed application, Other를 선택하고 Create Client ID를 누른다.

오른쪽에 이런 정보가 뜨는데, Client ID, Client Secret, Redirect URI를 얻을 수 있다. 그 다음 코스는 AuthCode를 얻는 것이다.

참고 사이트 : https://developers.google.com/android-publisher/authorization (자 우린 여기서 Generating a Refash Token 단계를 하고 있는거다.)

https://accounts.google.com/o/oauth2/auth?scope=https://www.googleapis.com/auth/androidpublisher&

response_type=code&access_type=offline&redirect_uri=...&client_id=...

인터넷 창을 열고, 주소창에 위 URL을 복사해서 넣는다. 요기서 ... 위치에 위에서 획득한 Client ID, Redirect URI를 입력한다. 잠깐. URI가 뭔가 URI 스타일이 아니라고? 일반적으로 http:// 요런게 있어야 하는데 아니라고? 괜찮다. 나도 똑같은 걱정 했었다. (...)

권한 수락 창이 뜨고, 확인을 누르면 드디어 AuthCode를 얻는다.

우리는 이제 AuthCode로 마지막 관문에 도달한거다.

https://accounts.google.com/o/oauth2/token (이것이 마지막 관문. OAuth2라고 부른다.)

여기에 HTTP-OVER-SSL로 POST 요청을 보내면 Access Token이라고 부르는 놈을 얻을 수 있다. 그리고 우리가 원하는 영수증 확인 절차를 거칠 수 있다. 그 방법은 두가지인데, 일단 위에서 AuthCode를 얻었으므로 그것으로 진행한다.

cURL로 POST 요청 만드는건 아래 간단히 두줄만 첨부해줄께.

curl_easy_setopt(pstCUrl, CURLOPT_POSTFIELDSIZE, strlen(szPost)); curl_easy_setopt(pstCUrl, CURLOPT_COPYPOSTFIELDS, szPost);

아래는 POST 요청의 Body다.

code=(1)&client_id=(2)&client_secret=(3)&redirect_uri=(4)&grant_type=authorization_code

(1)은 AuthCode를 입력. (2)는 Client ID를 입력. (3)에는 Client Secret을 입력. (4)에는 Redirect URI를 입력. 뭔지 모르겠으면 위를 봐라. 그림에 다 있다.

그리고 요청을 보내면,

{ "access_token" : "ya29.ZStBkRnGyZ2mUYOLgls7QVBxOg82XhBCFo8UIT5gM", "token_type" : "Bearer", "expires_in" : 3600, "refresh_token" : "1/zaaHNytlC3SEBX7F2cfrHcqJEa3KoAHYeXES6nmho" }

자 이제 우리가 쓸 수 있는 Access Token이 생겼다. 그건 좋은데, 위에 자세히 보면 expires_in 이라고 있다. 만료된다. 언제? 일반적으로 3600초 이후에. 고작 1시간 쓸 토큰 하나 만들자고 이 뻘짓을 한거다.

그러면 1시간 안에 Access Token이 만료되기 전에, 위의 예처럼 다시 POST 요청을 만들어서.. 안되지? 안된다니까. AuthCode는 1회용 인증코드다.  같은 인증 코드를 쓸 수가 없어. 권한 수락을 하고 다시 AuthCode를 얻어야 하는데 이러면 자동화가 안되지? 과감하게 버린다.

결론은 위 Body안에 있는 Refresh Token이다. 이걸 가지고 OAuth2에 다시 던져서 Access Token을 갱신할 수 있다. 이 경우에 쓰는 POST 요청은 Body가 조금 다른데,

client_id=(2)&client_secret=(3)&refresh_token=(5)&grant_type=refresh_token

조금 약식이 됐지? (2) 와 (3)은 위와 같고, (5)에는 새로 얻어온 Refresh Token을 쓰면 된다. 이것의 만료 시간은 없는 것으로 보인다. 자. 이제 문제 해결.

길고긴 서론이 끝났고 본론으로 들어간다. 드디어 처음에 언급했던 Google Play Android Developer API 라는 물건을 호출한다.

아래 URL을 HTTP-OVER-SSL GET으로 호출하면 된다.

https://www.googleapis.com/androidpublisher/v1.1/applications/(1)/inapp/(2)/purchases/(3)?access_token=(4)

(1) 번에는 패키지 이름, (2) 번에는 인앱 빌링 한 Product ID, (3) 번에는 결재 Token, (4) 번에는 어렵게 구한 Access Token을 넣어준다.

{ "kind": "androidpublisher#inappPurchase", "purchaseTime": "1400224349832", "purchaseState": 1, "consumptionState": 0 }

그리고 결과. 이제 진짜로 끝났다.

뭐 나름 이해는 해보려고 하지만.. 그게 잘 안되네?

어쨌든 내 뒤에 고생할 누군가를 위해서 이 기록을 남깁.. 쿨럭. 내상이 심하니 백판은 쉬고 와야겠다.