退款的滥用
针对退款,不同国家或地区会有不同的“无条件退款期限”,例如苹果
- AppStore商店退款政策:
中国/美国/韩国 等大多数国家:90天有条件退款。
- 在中国区AppStore的具体退款政策:一个ID有1次无条件退款条件,一年2次有条件退款,第3次退款会非常难。至于退款到账时间快为36小时,也有7-15个工作日退还。
- 正是这些“漏洞”,所以出现专业的代充工作室,导致开发者坏账非常严重。特别是火爆的游戏代充和直播行业。
退款的具体手段
- 利用淘宝店以代充打折的形式获取玩家的游戏账号,为玩家充值后申请退款。淘宝店获得充值金,玩家获得游戏商品,最终亏损的是游戏厂商。
- 收购消费过的App Store ID账号,收到的账号会被用来退款和直播打赏,主播可以自己刷火箭然后申请退款。
针对海外支付,退款的方式主要是App Store和Google
App Store
- AppStore退款****通知参考文档
苹果会定期通知****退款内容,当用户退款后苹果会调用配置的接口通知我们(被动接收) - 配置url
- 登录苹果后台 https://appstoreconnect.apple.com/
- 选择需要通知的app应用,点击侧边栏的综合->App信息
- 在AppStore服务器通知网址(URL)中配置我们的接口地址(必须为Https)
苹果响应信息
responsebody通知参数详细文档
从App Store在服务器通知中返回的是一条JSON数据的退款****通知,例子:
{
"notification_type": "REFUND",#触发通知的订阅事件。REFUND:退款
"environment": "PROD", #App Store生成收据的环境,可能是沙箱和生产环境
"latest_receipt": "",#不推荐使用。自2021年3月10日起,生产和沙箱环境中将不再提供此对象。
"latest_receipt_info": {},#不推荐使用。自2021年3月10日起,生产和沙箱环境中将不再提供此对象。
"unified_receipt": {
"status": 0,
"environment": "Production",
"latest_receipt_info": [{#最近100笔退款订单信息
"quantity": "1",
"product_id": "com.xxxxxx.xmios.60",
"transaction_id": "490022793443160", #苹果订单号
"purchase_date": "2021-04-01 18:04:09 Etc/GMT",
"purchase_date_ms": "1617300249000",
"purchase_date_pst": "2021-04-01 11:04:09 America/Los_Angeles",
"original_purchase_date": "2021-04-01 18:04:09 Etc/GMT",
"original_purchase_date_ms": "1617300249000",
"original_purchase_date_pst": "2021-04-01 11:04:09 America/Los_Angeles",
"is_trial_period": "false",
"original_transaction_id": "490000793443160",
"cancellation_date": "2021-04-02 16:24:42 Etc/GMT", #退款时间
"cancellation_date_ms": "1617380682000", #退款时间 精确到毫秒
"cancellation_date_pst": "2021-04-02 09:24:42 America/Los_Angeles",
"cancellation_reason": "1",
"in_app_ownership_type": "PURCHASED"
}],
"latest_receipt": "" #不推荐使用。自2021年3月10日起,生产和沙箱环境中将不再提供此对象。
},
"bid": "com.xxxxxx.xmios",
"bvrs": "2.20"
}
这里我主要关注两个字段
- cancellation_date(退款时间)
- transaction_id(苹果订单号)
unified_receipt
存放着最近100笔退款****订单信息,我们可以循环遍历数组,通过数组下的transaction_id
从数据库中查到订单信息,结合cancellation_date
保存到退款记录表。
-
[Google****退款****通知参考文档]
https://developers.google.com/android-publisher/api-ref/rest/v3/purchases.voidedpurchases/list
https://developers.google.com/android-publisher/voided-purchases
https://developers.google.com/android-publisher/getting_started#setting_up_api_access_clients
https://developers.google.com/android-publisher/api-ref/rest/v3/TokenPagination需定期请求Google****退款接口,获取退款数据(主动发起请求)
-
获得访问权限
想使用 Voided Purchases API,需要拥有查看财务信息的权限。可以使用 OAuth 客户端或服务帐号来提供授权。这里我使用的是服务帐号,在帐号中启用“查看财务报表”权限。- 登录 Google Play 管理中心-》设置-》开发者账号-》API权限
- 点击服务帐号下的创建新的服务帐号,按照页面上的说明创建您的服务帐号。
点击 add 创建密钥,创建JSON密钥,准备进行授权的API调用。 - 在 Google Play 管理中心创建服务帐号后,点击完成。API权限会自动刷新。
- 点击授予访问权,勾选财务数据(查看财务数据、订单和用户取消订阅时对调查问卷的书面回复)
-
获得访问授权
- 创建一个JWT,这里我以php为例:
class GoogleRefundCommand extends Command
{
protected $signature = 'google:refund {startTime?} {endTime?}';
private $key = "",//使用JSON里的密钥
private $iss = ''; //服务帐户的电子邮件地址。
private $sub = ''; //应用程序正在请求委派访问权限的用户的电子邮件地址。
private $scope = 'https://www.googleapis.com/auth/androidpublisher';//以空格分隔的应用程序请求的权限列表。
private $aud = 'https://oauth2.googleapis.com/token';//声明的预期目标的描述符。发出访问令牌请求时,此值始终为。https://oauth2.googleapis.com/token
private $package_name = ['','',''];
private $getTokenUrl = 'https://www.googleapis.com/androidpublisher/v3/applications/';
private $getTokenMethod = '/purchases/voidedpurchases';
private $client = "";
public function __construct()
{
parent::__construct();
$this->client = HttpAgent::getInstance();
}
private function base64url_encode($data)
{
return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}
/**
* 谷歌退款
* 获取access_token 接口请求文档 https://developers.google.com/identity/protocols/oauth2/service-account
* @return mixed
*/
public function handle()
{
//只在线上执行
if (config('app.env') != 'production') {
Log::info('获取谷歌获取退款脚本执行时间:' . date('Y-m-d H:i:s'));
return;
}
//头部
$header = [
'alg' => 'RS256', //生成signature的算法
'typ' => 'JWT' //类型
];
$payload = ['iss' => $this->iss, 'sub' => $this->sub, 'scope' => $this->scope, 'aud' => $this->aud, 'iat' => time(), 'exp' => time() + 1800];
// {Base64url encoded JSON header}
$jwtHeader = $this->base64url_encode(json_encode($header));
// {Base64url encoded JSON claim set}
$jwtClaim = $this->base64url_encode(json_encode($payload));
// The base string for the signature: {Base64url encoded JSON header}.{Base64url encoded JSON claim set}
openssl_sign($jwtHeader . "." . $jwtClaim, $jwtSig, $this->key, "sha256WithRSAEncryption");
$jwtSign = $this->base64url_encode($jwtSig);
// {Base64url encoded JSON header}.{Base64url encoded JSON claim set}.{Base64url encoded signature}
$jwtAssertion = $jwtHeader . "." . $jwtClaim . "." . $jwtSign;
dd($jwtAssertion);
// todo...
$ret = $this->client->request('post', 'https://oauth2.googleapis.com/token', ['query' => [
'grant_type' => 'urn:ietf:params:oauth:grant-type:jwt-bearer',
'assertion' => $jwtAssertion,
]]);
}
}
这里我们使用postman测试一下
1. 请求 https://oauth2.googleapis.com/token 接口
2.grant_type = urn:ietf:params:oauth:grant-type:jwt-bearer
,assertion使用 $jwtAssertion
参数
保存返回的授权令牌access_token
使用GET请求https://androidpublisher.googleapis.com/androidpublisher/v3/applications/{packageName}/purchases/voidedpurchases
startTime
:您想在响应中看到的最早作废的购买交易的时间。默认情况下,startTime
设为 30 天以前。注意:这里的startTime
是毫秒
maxResults
:每个响应中出现的已作废购买交易的数量上限。默认情况下,此值为 1000。请注意,此参数的最大值也是 1000。
token
: 之前响应中的继续令牌;可让您查看更多结果。
Google响应信息
Google响应信息文档
{
"tokenPagination": {
"nextPageToken": "next_page_token"
},
"voidedPurchases": [
{
"kind": "androidpublisher#voidedPurchase",
"purchaseToken": "some_purchase_token",
"purchaseTimeMillis": "1468825200000",
"voidedTimeMillis": "1469430000000",
"orderId": "some_order_id",
"voidedSource": "0",
"voidedReason": "4"
},
{
"kind": "androidpublisher#voidedPurchase",
"purchaseToken": "some_other_purchase_token",
"purchaseTimeMillis": "1468825100000",
"voidedTimeMillis": "1470034800000",
"orderId": "some_other_order_id",
"voidedSource": "2",
"voidedReason": "5"
},
]
}
这里我主要关注两个字段
voidedTimeMillis(退款时间)
orderId(Google订单号)
voidedPurchases存放着maxResults条退款订单信息,如果结果数量超过了在 maxResults请求参数中指定的数量,响应就会包含一个 nextPageToken值,这里我写了一个递归函数判断 nextPageToken是否为空,非空则将该值传递给后续请求来查看更多结果。