苹果支付凭证解析需先解码base64并调用官方验证接口,推荐使用curl直连、guzzle封装或第三方类库;关键步骤包括环境自动识别、status校验、in_app按purchase_date_ms降序取最新交易,并强制校验bundle_id一致性。
如果您在服务端接收到苹果返回的支付凭证(receipt-data),但无法正确解析其内容以获取交易状态、商品ID或订阅信息,则可能是由于凭证未正确解码或验证响应未按规范处理。以下是解析苹果支付凭证的多种方法:
一、使用cURL直接调用苹果验证接口并解析JSON响应
该方法通过PHP原生cURL向苹果服务器发送POST请求,获取验证结果后直接json_decode解析,适用于所有PHP版本且无需额外依赖。
1、将客户端传来的base64编码凭证字符串赋值给变量$receipt_data。
2、构造包含"receipt-data"字段的JSON数组,并使用json_encode编码为字符串。
立即学习“PHP免费学习笔记(深入)”;
3、根据环境选择验证地址:沙盒环境使用https://sandbox.itunes.apple.com/verifyReceipt,生产环境使用https://buy.itunes.apple.com/verifyReceipt。
4、初始化cURL会话,设置CURLOPT_URL、CURLOPT_POST、CURLOPT_POSTFIELDS和CURLOPT_RETURNTRANSFER为true。
5、执行cURL请求,获取苹果返回的原始JSON字符串。
6、使用json_decode($response, true)将其转换为关联数组。
7、检查数组中status字段的值:若为0,表示凭证有效;若为21007则需切换至沙盒地址重试;若为21008则需切换至生产地址重试。
二、自动识别沙盒/生产环境并双通道验证
该方法避免因凭证来源与验证地址不匹配导致的21007/21008错误,通过首次验证失败后自动回退到另一环境重试,提升鲁棒性。
1、先使用生产环境地址发送验证请求。
2、解析响应,若status为21007,则立即使用沙盒地址重新发起相同凭证的验证请求。
3、若首次响应status为21008,则改用生产地址重试(此情形较少见,但需覆盖)。
4、两次请求均失败时,终止解析并返回对应错误码。
5、任一请求返回status为0,则提取receipt子数组中的bundle_id、product_id、transaction_id及purchase_date_ms等关键字段。
6、对in_app数组按purchase_date_ms降序排列,确保取到最新一笔交易——苹果不保证in_app内元素顺序稳定。
三、使用Guzzle HTTP客户端封装验证逻辑
该方法适用于Laravel、Symfony等现代框架项目,利用Guzzle提供更简洁的HTTP抽象层,支持异步、中间件及连接池管理。
1、通过Composer安装guzzlehttp/guzzle:composer require guzzlehttp/guzzle。
2、实例化GuzzleHttp\Client对象,配置timeout和verify选项(建议关闭SSL验证仅限开发环境)。
3、构建请求体:['json' => ['receipt-data' => $receipt_data, 'password' => $shared_secret]],其中$shared_secret为iTunes Connect中配置的App-Specific Shared Secret(仅自动续订必需)。
4、调用$client->post()方法发送请求,捕获GuzzleException异常。
5、调用$response->getBody()->getContents()获取响应体字符串。
6、json_decode解析后,校验status字段,并提取receipt->in_app中purchase_date_ms最大的条目。
7、验证bundle_id是否与当前APP的Bundle ID一致,防止凭证被跨应用复用——此项为安全强制校验点。
四、本地解码Base64凭证结构(仅调试用途)
该方法不调用苹果服务器,仅对receipt-data进行base64_decode后尝试JSON解析,用于快速确认凭证格式是否合法,但无法验证真实性或交易状态。
1、对receipt_data字符串执行base64_decode操作。
2、检查解码后是否为有效的JSON字符串(可用json_last_error()判断)。
3、若解码成功且json_decode返回非null数组,可查看其中是否有receipt、environment、status等字段。
4、注意:此方式返回的数据为未签名原始结构,不可用于业务判断,仅作日志分析或调试参考。
5、常见失败原因包括:凭证被截断、含非法空白字符、未经base64编码直接传输。
五、使用第三方轻量类库进行结构化解析
该方法引入已封装好环境自动切换、in_app排序、字段映射等功能的独立类库,减少重复代码并降低出错概率。
1、通过Composer引入如"robindev/appstore-iap"等维护活跃的开源包。
2、实例化验证器类,调用setPassword()设置Shared Secret(如涉及订阅)。
3、调用setEndpoint(true)启用沙盒模式(开发阶段默认启用)。
4、执行query($receipt_data)方法,返回标准化对象,含isValid()、getLatestTransaction()、getOriginalResponse()等方法。
5、调用getLatestTransaction()获取排序后的最新交易数据,字段名已映射为驼峰式(如purchaseDateMs → purchase_date_ms)。
6、检查isValid()返回true后,再读取product_id、quantity、isTrialPeriod等业务字段——避免直接访问原始数组下标引发越界。
