Stripe 测试卡在旧版 Checkout 中失效的原因及解决方案

碧海醫心

发布时间：2026-01-21 11:10:42

591人浏览过

来源于php中文网

原创

Stripe 测试卡在旧版 Checkout 中失效的原因及解决方案

本文解释为何 stripe 旧版 checkout（modal 弹窗）无法触发测试卡的预期拒付行为，并指出根本原因在于未正确使用 `stripetoken`，而是错误地对已有客户默认卡重复扣款；同时提供迁移至现代支付流程的明确路径。

你遇到的问题并非 Stripe 测试卡“失效”，而是集成逻辑存在关键缺陷：当前代码并未真正使用用户在 Checkout 弹窗中输入的测试卡信息，而是绕过了它，直接对一个已存在的客户（$_POST['customer_id']）的默认支付方式发起扣款——该默认卡极大概率是你此前成功添加的一张有效测试卡（如 4242 4242 4242 4242），因此所有交易自然全部成功。

? 根本问题定位

在你的前端代码中，Stripe Checkout JS 会生成一个一次性 token（代表用户输入的卡信息），并通过表单 POST 提交至后端，字段名为 stripeToken。但你的 PHP 后端代码却完全忽略了它：

// ❌ 错误：仅使用 customer_id，未使用 stripeToken
'customer' => $_POST['customer_id'],

这导致 \Stripe\Charge::create() 实际执行的是：

“对 ID 为 cus_xxx 的客户，用其已绑定且设为默认的那张卡，扣 $10.00”。

而你输入的 4000000000000002 等测试卡从未被提交、未被创建、更未被附加到该客户——它被 Checkout 完全丢弃了。

✅ 正确做法（临时修复，仅限过渡）

若暂无法迁移，必须确保：

前端表单包含隐藏域接收 stripeToken；
后端使用该 token 创建新 Customer 或直接创建 Charge。

<!-- 在 Checkout 脚本下方，确保表单提交包含 stripeToken -->
<form action="/charge.php" method="POST">
  <script src="https://checkout.stripe.com/checkout.js" class="stripe-button"
    data-key="<?php echo $stripe['pub_key']; ?>"
    data-email="<?php echo $loggedInUser->email; ?>"
    data-amount="1000"
    data-description="One Credit Purchase ($10.00)"
    data-image="img/charge-logo.png"
    data-name="Sheet"
    data-panel-label="One Credit - "
    data-label="One Credit - $10.00"
    data-zip-code="true"
    data-billing-address="true">
  </script>
  <!-- ⚠️ 必须显式传递 token -->
  <input type="hidden" name="stripeToken" id="stripeToken" />
</form>

<script>
  // 使用 Stripe.redirectToCheckout 或监听 token 事件（旧版需自定义）
  // 更推荐：改用 Stripe Elements + ConfirmCardPayment（见下文）
</script>

后端应改为：

OneAI

将生成式AI技术打包为API，整合到企业产品和服务中

下载

try {
    // ✅ 正确：使用前端传来的 token 创建 Charge（不依赖 customer）
    $charge = \Stripe\Charge::create([
        'amount' => 1000,
        'currency' => 'usd',
        'source' => $_POST['stripeToken'], // ← 关键！不是 customer
        'description' => "Single Credit Purchase",
        'receipt_email' => $loggedInUser->email,
    ]);
} catch (\Stripe\Exception\CardException $e) {
    // ✅ 此时 4000000000000002 将触发 CardException，$e->getError()->code === 'card_declined'
    $errors[] = $e->getMessage();
} catch (\Stripe\Exception\RateLimitException $e) {
    $errors[] = 'Too many requests. Please try again later.';
} catch (\Stripe\Exception\InvalidRequestException $e) {
    $errors[] = 'Invalid parameters: ' . $e->getMessage();
} catch (\Stripe\Exception\AuthenticationException $e) {
    $errors[] = 'Authentication failed. Check your API keys.';
} catch (\Stripe\Exception\ApiConnectionException $e) {
    $errors[] = 'Network error. Please try again.';
} catch (\Stripe\Exception\ApiErrorException $e) {
    $errors[] = 'Stripe API error: ' . $e->getMessage();
} catch (Exception $e) {
    $errors[] = 'Unexpected error: ' . $e->getMessage();
}

? 重要警告：旧版 Checkout 已彻底弃用

Stripe 官方已于 2020 年 12 月正式弃用 checkout.js（v2），并停止对其维护与安全更新。它：

❌ 不支持 SCA/3D Secure 2（欧盟强认证合规必需）；
❌ 无 PCI DSS Level 1 合规保障（因卡号曾短暂经过你的服务器）；
❌ 无法处理现代支付方式（如 Apple Pay、Google Pay、Klarna）；
❌ Webhook 事件结构陈旧，缺乏 payment_intent 等关键对象。

✅ 推荐方案：立即迁移到 Stripe Payment Intents + Elements

采用现代标准流程，既保证测试卡 100% 可控，又满足全球合规要求：

前端使用 Stripe Elements 收集卡信息（PCI 合规，卡号不触达你的服务器）；
调用 stripe.confirmCardPayment() 发起带 SCA 的支付；
后端通过 PaymentIntent ID 处理异步结果。

// 前端示例（简化）
const { paymentIntent, error } = await stripe.confirmCardPayment(
  '{{ CLIENT_SECRET }}', // 来自后端 /create-payment-intent
  {
    payment_method: {
      card: cardElement,
      billing_details: { email: userEmail }
    }
  }
);
if (error) {
  console.log('Decline reason:', error.code); // e.g., 'card_declined'
}

后端创建 PaymentIntent（PHP）：

$intent = \Stripe\PaymentIntent::create([
  'amount' => 1000,
  'currency' => 'usd',
  'automatic_payment_methods' => ['enabled' => true],
]);
echo json_encode(['client_secret' => $intent->client_secret]);

? 所有测试卡（4000000000000002, 4000000000009995 等）在 Payment Intents 模式下将严格按文档返回对应错误码，且支持完整 SCA 流程模拟。

总结

不要归咎于测试卡：它们始终可靠，问题出在集成方式；
立即停用 checkout.js：它已过时、不安全、不合规；
优先实现 Payment Intents + Elements：这是 Stripe 当前唯一推荐、长期支持、符合全球监管的方案；
测试时务必使用 stripeToken（旧）或 client_secret（新），而非复用已有客户 ID。

迁移虽需数小时开发，但换来的是稳定性、安全性与未来兼容性——这才是生产环境应有的技术债偿还节奏。

使用 PHP 原生枚举驱动 OpenAPI 枚举定义的兼容方案

PHP 字符串拆分成最小片段

PHP 数组作为配置中心的设计模式

PHP 数据库批量操作事务控制方案

PHP isset 与 empty 面试区别题详解

相关专题

登录token无效

登录token无效解决方法：1、检查token的有效期限，如果token已经过期，需要重新获取一个新的token；2、检查token的签名，如果签名不正确，需要重新获取一个新的token；3、检查密钥的正确性，如果密钥不正确，需要重新获取一个新的token；4、使用HTTPS协议传输token，建议使用HTTPS协议进行传输；5、使用双因素认证，双因素认证可以提高账户的安全性。

6584

2023.09.14

登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容，供大家免费下载体验。

841

2023.09.14

token怎么获取

获取token值的方法：1、小程序调用“wx.login()”获取临时登录凭证code，并回传到开发者服务器；2、开发者服务器以code换取，用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容，可以阅读本专题下面的文章。

1091

2023.12.21

token什么意思

token是一种用于表示用户权限、记录交易信息、支付虚拟货币的数字货币。可以用来在特定的网络上进行交易，用来购买或出售特定的虚拟货币，也可以用来支付特定的服务费用。想了解更多token什么意思的相关内容可以访问本专题下面的文章。

2098

2024.03.01

js正则表达式

php中文网为大家提供各种js正则表达式语法大全以及各种js正则表达式使用的方法，还有更多js正则表达式的相关文章、相关下载、相关课程，供大家免费下载体验。

530

2023.06.20

js获取当前时间

JS全称JavaScript，是一种具有函数优先的轻量级，解释型或即时编译型的编程语言;它是一种属于网络的高级脚本语言，主要用于Web，常用来为网页添加各式各样的动态功能。js怎么获取当前时间呢？php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

576

2023.07.28

js 字符串转数组

js字符串转数组的方法：1、使用“split()”方法；2、使用“Array.from()”方法；3、使用for循环遍历；4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容，供大家免费下载体验。

760

2023.08.03

js是什么意思

JS是JavaScript的缩写，它是一种广泛应用于网页开发的脚本语言。JavaScript是一种解释性的、基于对象和事件驱动的编程语言，通常用于为网页增加交互性和动态性。它可以在网页上实现复杂的功能和效果，如表单验证、页面元素操作、动画效果、数据交互等。

6147

2023.08.17

Go高并发任务调度与Goroutine池化实践

本专题围绕 Go 语言在高并发任务处理场景中的实践展开，系统讲解 Goroutine 调度模型、Channel 通信机制以及并发控制策略。内容包括任务队列设计、Goroutine 池化管理、资源限制控制以及并发任务的性能优化方法。通过实际案例演示，帮助开发者构建稳定高效的 Go 并发任务处理系统，提高系统在高负载环境下的处理能力与稳定性。

2026.03.10

热门下载

网站特效

网站源码

网站素材

前端模板