需配置Apple开发者账号证书、生成ES256签名JWT令牌、解析前端paymentToken、验证证书链并解密paymentData、最后用JWT调用Apple验证接口确认交易有效性。
如果您正在为iOS应用集成苹果支付(Apple Pay)新版本,需要通过PHP后端处理支付验证与订单确认,则必须正确配置服务器端逻辑以支持最新的Apple Pay API。以下是完成此任务的具体步骤:
一、配置苹果开发者账号与证书
苹果支付新版本要求使用基于JWT的服务器身份验证,并依赖Apple Developer Portal中配置的有效密钥和Merchant ID。您需在Apple Developer账号中创建并下载专用的Apple Pay证书及密钥文件,用于后续签名与验签流程。
1、登录Apple Developer Portal,进入“Certificates, Identifiers & Profiles”。
2、在“Identifiers”中注册新的Merchant ID,启用Apple Pay功能并关联对应App ID。
立即学习“PHP免费学习笔记(深入)”;
3、在“Keys”中创建一个新的密钥,勾选“Apple Pay”权限,下载生成的.p8密钥文件并保存至服务器安全路径。
4、记录该密钥对应的Key ID以及您的Team ID,二者将用于构建JWT头部与载荷。
二、生成Apple Pay服务器端JWT令牌
苹果支付新版本要求后端向Apple Pay服务发起请求时,必须携带有效的JWT认证头,该令牌由Apple指定的算法(ES256)签名,用于标识商户身份并授权交易验证权限。
1、使用PHP的openssl扩展加载已下载的.p8私钥文件。
2、构造JWT头部,包含alg: "ES256"、kid: 您的Key ID、typ: "JWT"。
3、构造JWT载荷,包含iss: 您的Team ID、iat: 当前时间戳(UTC)、exp: iat+86400(有效期24小时)。
4、调用openssl_sign()函数对base64url编码后的header.payload进行ES256签名,并拼接成完整JWT字符串。
三、接收并解析前端传入的paymentToken
iOS客户端调用PKPaymentAuthorizationController完成支付后,会将加密的paymentToken作为JSON对象中的token字段提交至您的PHP接口。该token包含加密的支付数据及证书链,需从中提取paymentData、header、signature等关键字段。
1、使用file_get_contents('php://input')或$_POST获取原始JSON请求体。
2、json_decode()解析数据,检查是否存在token、paymentData、header、signature、version字段。
3、从header中提取transactionId、ephemeralPublicKey、publicKeyHash等值,用于后续验签与解密准备。
4、确保paymentData为base64编码字符串,且version值为EC_v1或DPv2(根据iOS版本而定)。
四、验证Apple Pay证书链并解密paymentData
苹果支付新版本强制要求验证证书链有效性,防止中间人伪造支付凭证。您需使用Apple根证书(Apple Root CA - G3)逐级校验证书路径,并使用ephemeralPublicKey解密paymentData获得明文支付信息。
1、从paymentToken中提取certificates数组,按顺序依次加载为X.509证书资源。
2、使用openssl_x509_checkpurpose()配合Apple提供的根证书验证整条证书链是否可信。
3、使用openssl_pkey_get_public()从ephemeralPublicKey字段提取公钥资源。
4、调用openssl_open()函数,以私钥(由.p8生成)解密paymentData,输出为ASN.1格式的明文数据包。
五、向Apple Pay服务提交paymentToken进行交易验证
解密完成后,需将原始paymentToken连同JWT令牌一同发送至Apple指定的验证端点(https://cws1.apple.com/verifyReceipt),以确认该支付请求真实有效且未被篡改。
1、构造POST请求体,包含json参数:{ "paymentToken": { … } },其中paymentToken结构保持原始JSON格式不变。
2、设置HTTP Header:Content-Type: application/json;Authorization: Bearer 您生成的JWT令牌。
3、使用curl_init()发起HTTPS请求,目标URL为https://cws1.apple.com/verifyReceipt。
4、接收响应并json_decode()解析,检查status字段是否为0,且data字段中包含valid:true标识。
