必须处理苹果支付授权回调并解密验签:一、解析JSON获取paymentData等字段;二、用ECIES和私钥解密;三、验证Apple签名与证书链;四、校验transactionId一致性;五、返回严格格式的JSON响应。
如果您在PHP后端集成苹果支付(Apple Pay)时需要实现二次验证流程,则必须处理来自苹果服务器的支付授权回调,并对支付凭证进行解密与验签。以下是实现苹果支付二次验证的具体步骤:
苹果支付客户端完成前端授权后,会将加密的支付授权数据(paymentAuthorization)以JSON格式提交至您的PHP服务端接口。该数据包含paymentData(Base64编码的加密载荷)、header(含ephemeralPublicKey、transactionId等)及signature等关键字段,需先完整接收并结构化解析。
1、使用file_get_contents('php://input')或$_POST['paymentData'](取决于前端传输方式)获取原始JSON字符串。
2、调用json_decode()将JSON字符串转为PHP关联数组,检查是否存在paymentData、header、signature、version等必需键。
立即学习“PHP免费学习笔记(深入)”;
3、从header中提取ephemeralPublicKey、transactionId、publicKeyHash字段,用于后续密钥协商与验签。
苹果支付采用椭圆曲线集成加密方案(ECIES)对paymentData进行加密,需使用您在Apple Developer Portal中配置的私钥(.p8格式)与ephemeralPublicKey协商出共享密钥,再解密原始支付数据。
1、将ephemeralPublicKey的X9.63格式数据转换为OpenSSL可识别的EC Point格式(需补全04前缀并校验长度)。
2、使用openssl_pkey_get_private()加载您的merchant identity私钥(.p8文件),确保私钥未加密且权限安全。
3、调用openssl_ecdh_key_exchange()(PHP 8.1+)或借助第三方库(如paragonie/constant_time_encoding与defuse/php-encryption)执行密钥派生,并使用AES-GCM解密paymentData中的密文部分。
苹果在authorization对象中附带signature和certificates,需验证该签名是否由苹果可信根证书签发,防止伪造支付授权。验证过程包括证书链构建、OCSP状态检查(可选)及签名比对。
1、将certificates数组中的每个证书(PEM格式字符串)依次写入临时文件或内存流,使用openssl_x509_parse()解析首张证书,确认其subject包含CN=Apple Pay Merchant Identity Certificate。
2、使用openssl_verify()对signature进行验签:以第二张证书(Intermediate CA)的公钥,对paymentData的SHA256哈希值进行验证。
3、逐级验证证书链——用Apple Root CA证书验证Intermediate证书签名,确认整个链路可信;检查每张证书的notBefore/notAfter时间有效性及CRL Distribution Points(如启用OCSP)。
transactionId是苹果生成的唯一支付事务标识符,必须与您本地订单系统中的交易上下文强绑定,防止重放攻击或跨订单篡改。
1、从解密后的paymentData中提取transactionIdentifier字段(字符串类型),与当前请求携带的订单ID进行关联存储。
2、查询数据库确认该transactionIdentifier尚未被使用,且对应订单状态为pending_authorization。
3、将transactionIdentifier、解密所得cardType、cardLastFour、billingContact等信息持久化至订单扩展表,并标记为apple_pay_verified状态。
完成全部验证后,必须向苹果客户端返回严格遵循Apple Pay JS API规范的响应对象,否则支付流程将中断。响应需包含status字段及可选的errors数组。
1、若所有验证通过,返回JSON响应:{"status": 1}(status=1表示授权成功)。
2、若任一环节失败(如证书过期、signature不匹配、transactionId重复),返回:{"status": -1, "errors": ["INVALID_CERTIFICATE"]}。
3、确保响应HTTP头设置为Content-Type: application/json;禁止输出任何额外空格、BOM或调试信息,否则苹果SDK将判定为解析失败。
以上就是PHP如何实现苹果支付二次验证_苹果支付二次验证PHP实现方案【步骤】的详细内容,更多请关注php中文网其它相关文章!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
672
收藏
