验签失败需依次检查:一、receipt-data是否完整未篡改;二、shared secret是否正确且必传;三、验证地址是否匹配沙盒/生产环境;四、服务器时间是否与NTP同步;五、JSON格式及Content-Type是否符合要求。
如果您在PHP服务端验证苹果App Store支付凭证时收到验签失败响应(如status=21002、21003、21004等),则可能是由于凭证数据异常、密钥不匹配或环境配置错误所致。以下是解决此问题的步骤:
一、检查receipt-data是否完整且未经篡改
苹果返回的transactionReceipt是一个Base64编码字符串,若在传输或存储过程中被截断、换行、空格替换或二次URL解码,将导致验签失败。必须确保原始receipt-data字节流未发生任何变更。
1、在接收客户端传来的receipt-data时,使用rawurldecode()或base64_decode()前先确认其长度是否大于200字符;
2、禁用PHP自动处理请求参数的magic_quotes_gpc(已废弃但旧环境仍可能启用),避免自动添加反斜杠;
立即学习“PHP免费学习笔记(深入)”;
3、打印接收到的receipt-data原始值(非var_dump后的结构化输出),与客户端原始字符串逐字符比对;
4、若使用cURL POST发送,确保postData中receipt-data字段未被JSON_encode()二次转义——应直接作为JSON字符串的value传入,而非嵌套编码。
二、确认shared secret密码字段是否正确启用
当苹果返回status=21004时,明确表示提供的password与开发者账户中配置的共享密钥不一致。该password仅在自动续订订阅类商品验证中强制要求,但实测表明:一旦账户开通过订阅功能,所有类型商品(含消耗型)的验签均需携带password字段,否则默认返回21004。
1、登录App Store Connect → 选择对应App → “In-App Purchases” → 点击右上角“+”号 → 查看“App-Specific Shared Secret”区域;
2、复制显示为“XXXX-XXXX-XXXX-XXXX”的32位十六进制字符串,不得包含空格、换行或引号;
3、在PHP请求体中,必须将该字符串作为password字段值传入JSON payload,且与receipt-data同级;
4、若历史曾更换过shared secret,需同步更新服务端代码,旧secret无法用于新生成的receipt。
三、严格区分沙盒与生产环境验证地址
苹果沙盒环境与正式环境使用完全隔离的验证接口和证书体系。若将沙盒receipt发送至buy.itunes.apple.com,或反之,将直接返回status=21007或21008,且无法通过重试修复。
1、首次验证时,先向https://sandbox.itunes.apple.com/verifyReceipt发起请求;
2、若响应status=21007(沙盒receipt发往生产环境),说明当前receipt确属沙盒环境,应继续使用沙盒地址;
3、若响应status=21008(生产receipt发往沙盒环境),则切换至https://buy.itunes.apple.com/verifyReceipt;
4、不可依赖客户端传参判断环境,必须以苹果返回的status码为准进行动态路由。
四、校验服务器系统时间偏差
苹果验证服务对请求时间敏感,若服务器本地时间与NTP标准时间偏差超过5分钟,可能导致签名解析失败或证书链校验中断,间接引发21002或21003错误。
1、执行命令ntpdate -q time.apple.com,查看当前时间偏移量;
2、若偏移量大于300秒,运行systemctl restart ntpd(CentOS)或systemctl restart systemd-timesyncd(Ubuntu);
3、验证后再次执行ntpdate -q确认偏移量归零;
4、禁止使用date命令手动修改系统时间,必须通过NTP协议同步。
五、验证JSON请求体格式与Content-Type头
苹果验证接口要求严格的HTTP请求结构:POST body必须为application/json,且JSON中receipt-data和password字段必须为字符串类型,不可为null、空数组或数字。
1、使用json_encode()构造payload前,确保$receipt_data和$password均为string类型,可强制转换:(string)$receipt_data;
2、设置cURL选项:curl_setopt($ch, CURLOPT_HTTPHEADER, ['Content-Type: application/json']);
3、禁用curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query(...)),该方式会发送x-www-form-urlencoded而非JSON;
4、验证响应头Content-Type是否为application/json,若返回text/html则说明请求被CDN或WAF拦截或重定向。
