PHP验证苹果IAP需:一、构造标准JSON请求体并POST至对应环境URL;二、自动识别21007/21008错误并切换环境重试;三、订阅需添加password字段传shared secret;四、推荐用Guzzle封装提升稳定性;五、解析响应时优先匹配latest_receipt_info中的product_id与transaction_id。
如果您在开发 iOS 应用时需完成苹果内购(IAP)支付结果的后端验证,但服务端 PHP 无法正确调用苹果验证接口并解析响应,则可能是由于请求格式、环境误配或 receipt 数据处理不当所致。以下是调用苹果支付 PHP 接口的具体方法:
一、构造标准 JSON 请求体并 POST 到苹果验证地址
苹果要求将 receipt-data 封装为严格格式的 JSON 对象,并以 application/json Content-Type 发送至对应环境的验证接口。沙盒环境与生产环境 URL 不同,必须根据实际部署状态选择,否则将返回 21007 或 21008 错误。
1、将客户端传入的 base64 编码 receipt 字符串进行 URL 安全解码(若含换行或空格需先清理)。
2、构建关联数组:["receipt-data" => $decoded_receipt],注意键名必须为 receipt-data,不可使用驼峰或下划线变体。
立即学习“PHP免费学习笔记(深入)”;
3、使用 json_encode() 将数组转为 JSON 字符串,确保不带额外空格或 UTF-8 BOM。
4、设置 cURL 请求头:Content-Type: application/json;Accept: application/json。
5、POST 该 JSON 字符串至 https://sandbox.itunes.apple.com/verifyReceipt(沙盒)或 https://buy.itunes.apple.com/verifyReceipt(生产)。
二、自动识别并重试沙盒/生产环境
当首次验证返回 status=21007(沙盒 receipt 发往生产)或 status=21008(生产 receipt 发往沙盒)时,应主动切换验证地址重新提交,避免人工判断环境。该机制可提升接口鲁棒性,尤其适用于灰度发布或测试阶段混用凭证的场景。
1、执行第一次请求,获取原始响应 JSON 字符串。
2、json_decode() 解析响应,检查 status 字段值是否为 "21007" 或 "21008"。
3、若命中任一状态码,提取原 receipt-data 值,切换目标 URL 为另一环境地址。
4、重复 POST 请求,使用相同 JSON 结构和 header 配置。
5、将两次响应中的有效字段(如 latest_receipt_info、in_app 数组)合并记录,用于后续业务处理。
三、携带 shared secret 处理自动续订订阅
对于订阅型商品(尤其是含免费试用或跨档升级),苹果要求在请求体中额外提供 shared secret(即 App Store Connect 中配置的“App-Specific Shared Secret”)。缺失该字段将导致 status=21004 错误,且无法获取完整订阅状态信息。
1、在 App Store Connect 的【用户与访问 → 密钥】或【我的 App → 商务 → In-App Purchases】中找到对应 App 的 shared secret 值。
2、修改请求体数组,增加 "password" => "your_shared_secret_here" 键值对(注意字段名为 password,非 shared_secret 或 secret)。
3、确保该 secret 仅存储于服务端配置,严禁硬编码在前端或日志中输出。
4、重新发起验证请求,响应中将包含 expires_date、is_trial_period、auto_renew_status 等关键订阅字段。
四、使用 Guzzle HTTP 客户端封装验证逻辑
Guzzle 提供更稳定的异步控制、超时管理及异常捕获能力,相比原生 cURL 更适合高并发验证场景。其默认启用连接池与重试策略,可减少因苹果服务瞬时抖动导致的失败。
1、通过 Composer 安装 guzzlehttp/guzzle:composer require guzzlehttp/guzzle。
2、实例化 Guzzle 客户端,设置 timeout=10、connect_timeout=5、http_errors=false(避免 4xx/5xx 直接抛异常)。
3、调用 $client->post() 方法,传入 URL 和 ['json' => $payload] 参数,自动序列化并设置 header。
4、捕获 GuzzleException,对 ConnectionException 或 ServerException 进行降级处理(如写入延迟队列重试)。
5、对响应 body 调用 $response->getBody()->getContents() 获取原始 JSON 字符串。
五、解析响应并提取有效 in_app 订单数据
苹果验证成功(status=0)后,响应体中包含 receipt 字段(基础收据)和 latest_receipt_info 字段(最新交易列表),后者为数组,每项代表一次购买/续订事件。需从中匹配订单号或 product_id,而非直接信任客户端传入的 transactionIdentifier。
1、json_decode() 响应内容,检查 status 是否严格等于 0(注意是整数 0,非字符串 "0")。
2、优先读取 latest_receipt_info 数组,遍历每一项,比对其中的 product_id 与业务订单所关联的商品 ID。
3、确认该项的 transaction_id 与客户端上报的 transactionIdentifier 一致,且 purchase_date_ms 大于本地订单创建时间戳。
4、提取该条目的 quantity、original_transaction_id、expires_date_ms(订阅)等字段,用于更新数据库状态。
5、若 latest_receipt_info 为空,则回退至 receipt->in_app 数组(仅适用于一次性购买)。
