苹果iap支付回调需多重校验:一、调用生产/沙盒验证接口并检查status与字段匹配;二、自动切换环境;三、本地jwt验签;四、幂等处理防重放;五、ssl证书固定防中间人攻击。
如果您在PHP后端处理苹果应用内购买(IAP)的支付回调时,未对交易收据进行有效校验,则可能面临伪造收据、越权获取虚拟商品等安全风险。以下是实现苹果支付安全校验的多种方法:
一、使用苹果官方生产环境收据验证接口(HTTPS POST)
该方法通过向Apple提供的生产验证URL(https://buy.itunes.apple.com/verifyReceipt)提交Base64编码的收据数据,获取经签名的JSON响应,再验证响应中的签名与数据完整性。
1、从客户端获取原始收据数据(通常为base64编码字符串),并将其放入JSON请求体的receipt-data字段中。
2、设置HTTP请求头:Content-Type为application/json,Accept为application/json。
立即学习“PHP免费学习笔记(深入)”;
3、使用cURL或Guzzle发送POST请求至https://buy.itunes.apple.com/verifyReceipt,携带包含receipt-data和可选password(用于加密收据)的JSON体。
4、解析返回的JSON响应,检查status字段是否为0;若为21007,则需转向沙盒环境重试;若为21008,则需转向生产环境重试。
5、验证response中的receipt属性是否存在,且in_app数组中对应transaction_id是否与本地记录一致,务必校验latest_receipt_info中bundle_id、product_id、original_transaction_id与本地订单关键字段完全匹配。
二、启用双向收据验证(生产+沙盒自动切换)
该方法避免因测试环境与线上环境混淆导致的校验失败,通过首次请求生产接口失败后自动降级至沙盒接口(https://sandbox.itunes.apple.com/verifyReceipt),提升容错性与鲁棒性。
1、封装统一验证函数,接收base64_receipt和shared_secret(如有)作为参数。
2、先向生产地址发起验证请求,并记录响应status值。
3、若status为21007(收据来自沙盒但发往生产),立即使用同一收据数据向沙盒地址重发请求。
4、若status为21008(收据来自生产但发往沙盒),则重新向生产地址请求(防止误配沙盒URL)。
5、无论哪条路径成功,均需校验response->receipt->receipt_creation_date_ms时间戳是否在合理业务窗口内,禁止接受创建时间早于订单生成时间或晚于当前时间10分钟以上的收据。
三、本地验签+JWT解析(适用于iOS 11.3+新版收据格式)
iOS 11.3起,苹果收据响应中新增signedDate、signedTransactionInfo等JWT结构字段,支持使用苹果公钥本地验签,降低对外部网络依赖并增强实时性。
1、从苹果开发者门户下载最新WWDR证书(Worldwide Developer Relations Certification Authority),提取其RSA公钥PEM内容。
2、从验证响应的latest_receipt_info或pending_renewal_info中提取jwt字段(若存在),分离header.payload.signature三段。
3、使用openssl_verify()函数,以SHA256哈希算法和提取的公钥,验证payload签名有效性。
4、对base64url解码后的payload进行JSON解析,提取expiration_date_ms、is_trial_period、web_order_line_item_id等关键业务字段。
5、比对payload中app_item_id与本地配置的合法App ID列表,拒绝app_item_id为空、非数字或不在白名单内的所有收据。
四、引入收据状态幂等校验与防重放机制
防止同一收据被多次提交兑换,需结合数据库唯一约束与服务端状态机控制,确保每笔original_transaction_id仅被成功处理一次。
1、在订单表中为original_transaction_id字段建立UNIQUE索引。
2、收到收据后,先查询数据库是否存在已标记为success状态的同transaction_id记录。
3、若存在,直接返回成功响应,不重复执行发货逻辑。
4、若不存在,开启数据库事务,插入新订单记录并设初始状态为verifying,再执行远程验证流程。
5、验证通过后,在同一事务内更新订单状态为success,并写入expires_date_ms与quantity,任何异常中断必须回滚事务,禁止留下verifying状态悬空订单。
五、部署SSL证书固定与HTTP客户端加固
防止中间人攻击篡改验证请求或响应,需在PHP HTTP客户端层面锁定苹果域名证书指纹,杜绝证书欺骗风险。
1、使用OpenSSL获取buy.itunes.apple.com和sandbox.itunes.apple.com的SPKI指纹(如SHA256),保存为常量数组。
2、在cURL配置中启用CURLOPT_SSL_VERIFYPEER=1、CURLOPT_SSL_VERIFYHOST=2,并设置CURLOPT_PINNEDPUBLICKEY指向预存指纹。
3、禁用CURLOPT_SSLVERSION,允许TLSv1.2及以上自动协商;显式设置CURLOPT_TIMEOUT为15秒,避免阻塞。
4、所有验证请求必须使用独立的cURL句柄,禁止复用含历史cookie或header的全局客户端实例。
5、记录每次请求的request_id、timestamp、url、fingerprint_used及HTTP状态码,日志中不得记录receipt-data原始内容或JWT payload明文。
