苹果支付收据验证需按五步处理:一、生产/沙盒混合验证并重试;二、JWT签名解析与声明校验;三、OpenSSL本地验签防篡改;四、订阅状态综合判断;五、错误码识别与指数退避重试。
如果您在PHP后端接收到苹果支付(Apple In-App Purchase)的订单状态回调或需要主动验证收据,但无法正确解析响应、校验签名或判断交易有效性,则可能是由于收据验证逻辑不完整、环境匹配错误或JWT解析失败。以下是处理苹果支付订单状态的多种方法:
一、使用苹果官方收据验证接口(Production + Sandbox混合验证)
苹果要求先向生产环境验证收据,若返回21007(收据来自沙盒但发往生产),则需转发至沙盒环境重试。该方式兼容真实用户与测试账户,是推荐的基础验证路径。
1、构造包含base64编码收据数据的JSON请求体,键名为"receipt-data"。
2、使用cURL发起POST请求至https://buy.itunes.apple.com/verifyReceipt(生产)或https://sandbox.itunes.apple.com/verifyReceipt(沙盒)。
立即学习“PHP免费学习笔记(深入)”;
3、检查响应中status字段:若为0,表示验证通过;若为21007,立即用同一收据向沙盒接口重发请求。
4、解析response中的latest_receipt_info数组,提取最新交易记录的transaction_id、product_id、original_transaction_id及expires_date_ms(订阅类)。
5、比对本地数据库中该original_transaction_id是否存在,避免重复发货。
二、解析并校验JWT格式的最新收据(iOS 11.3+适用)
iOS 11.3起,苹果在verifyReceipt响应中新增signedTransactionInfo字段,为JWT格式。直接解析该JWT可绕过二次网络请求,获取可信的交易声明。
1、从verifyReceipt响应中提取signedTransactionInfo字符串。
2、使用PHP JWT库(如firebase/php-jwt)调用JWT::decode(),指定ES256算法及苹果提供的公钥(从https://developer.apple.com/certificationauthority/AppleRootCA-G3.cer导出PEM格式)。
3、验证JWT的iss(应为https://appstoreconnect.apple.com)、aud(应为app bundle ID)、exp(UNIX时间戳,需早于当前时间)。
4、确认payload中bundle_id与本应用一致,product_id在白名单内,且is_trial_period值符合业务规则。
三、本地校验收据签名(离线增强防护)
在高安全要求场景下,仅依赖苹果远程验证存在中间人风险。可通过OpenSSL在服务端复现苹果收据签名验证流程,确保receipt-data未被篡改。
1、从原始PKCS#7格式收据中分离出DER编码的签名块与ASN.1结构化数据(使用openssl_pkcs7_read()或自定义ASN.1解析器)。
2、提取收据数据部分的SHA-256哈希值。
3、使用苹果根证书(AppleRootCA-G3.cer)中的公钥,对签名块执行RSA-SHA256验签操作。
4、若验签失败,则立即拒绝该收据,不进入后续业务逻辑。
四、处理订阅续订与过期状态(auto-renewable subscription)
苹果订阅状态非实时推送,需结合latest_receipt_info中每条记录的expires_date_ms与cancellation_date_ms综合判断用户当前权益。
1、遍历latest_receipt_info数组,按expires_date_ms降序排序,取第一条作为当前有效订阅。
2、若存在cancellation_date_ms且其值大于当前时间,则该订阅已被用户主动取消,但尚未到期,应标记为pending cancellation。
3、若expires_date_ms小于当前UNIX时间戳,且无active renewal记录,则视为已过期,触发服务停用流程。
4、对每个transaction_id检查in_app_ownership_type字段:若为PURCHASED,表示首次购买;若为FAMILY_SHARED,需额外校验family_id一致性。
五、应对苹果返回的常见错误码并实施退避重试
苹果验证接口可能因临时故障返回非200响应或特定status码,需设计幂等重试机制,避免因网络抖动导致订单状态误判。
1、当HTTP状态码为500、503或响应中status为21000–21006、21008时,启动指数退避重试(初始延迟1s,每次×2,上限3次)。
2、每次重试前重新生成请求体,确保receipt-data未被修改。
3、若三次重试均失败,将该收据写入待人工核查队列,并返回STATUS_RETRY_REQUIRED给客户端。
4、记录完整请求/响应日志(脱敏后),包括cURL error code、http_code、apple_status、request_id(如有)。
