全网整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:400-708-3566
电脑端+手机端+微信端=数据同步管理
免费咨询热线:400-708-3566
必须在Apple IAP验签请求中显式包含password字段(即App Store Connect配置的shared secret),且receipt-data需为原始Base64字符串,不可二次编码或转义;否则将触发status=21004等错误。
如果您在集成苹果内购(IAP)服务时需要向 Apple 验证服务器提交 receipt-data 并附带签名验证,必须正确构造包含 shared secret 的请求体。以下是生成该签名请求的多种实现方法:
苹果要求对自动续订订阅类商品进行验签时,必须在请求 payload 中显式传入 password 字段,其值为 App Store Connect 中配置的 shared secret。该字段不可省略,即使验证的是非订阅型商品,只要账户曾创建过自动续订产品,也需携带。
1、从 App Store Connect 后台获取 shared secret:进入“App > 内购项目 > 共享密钥”,复制 32 位十六进制字符串。
2、将 receipt-data 值 Base64 编码后的原始字符串(非 URL 安全编码)与 password 组合成标准 JSON 对象。
3、确保 receipt-data 字段值未被二次 Base64 编码或 URL 转义,保持原始 Apple 返回的完整字符串。
4、使用 curl 或 file_get_contents 向对应环境 endpoint 发起 POST 请求,Content-Type 必须设为 application/json。
该方法通过原生 PHP cURL 显式控制请求头与数据格式,避免 JSON 序列化过程中的意外截断或编码错误,适用于生产环境高稳定性要求场景。
1、定义 $receiptData 变量,赋值为客户端传来的原始 receipt-data 字符串(长度通常为 8000+ 字符)。
2、定义 $sharedSecret 变量,赋值为 App Store Connect 获取的 32 字符 shared secret。
3、构建 $postData 数组:array('receipt-data' => $receiptData, 'password' => $sharedSecret)。
4、调用 json_encode($postData, JSON_UNESCAPED_SLASHES | JSON_UNESCAPED_UNICODE) 生成紧凑 JSON 字符串。
5、初始化 cURL 句柄,设置 CURLOPT_URL 为沙盒或生产地址,CURLOPT_POSTFIELDS 为上步 JSON,CURLOPT_HTTPHEADER 为 ['Content-Type: application/json']。
苹果验签接口返回 JSON 包含 status 字段,不同数值代表不同校验结果。签名本身不参与加密运算,但 password 的存在与否直接影响 status=21004 等关键错误是否触发,因此函数需强制校验 password 传入逻辑。
1、声明函数 ifReceiptValid($receipt, $isSandbox = false, $password = ''),其中 $password 参数默认为空但实际调用时必须传入有效值。
2、在函数开头添加判断:若 $password 为空且 $isSandbox 为 false,则抛出 InvalidArgumentException 提示缺失共享密钥。
3、根据 $isSandbox 选择 endpoint:沙盒为 https://sandbox.itunes.apple.com/verifyReceipt,生产为 https://buy.itunes.apple.com/verifyReceipt。
4、构造 $postData 时始终包含 'password' 键,即使值为空字符串(防止因键缺失导致 21004)。
5、执行 curl 请求后,对返回内容做 json_decode,检查 status 是否为 0;若为 21004,则确认 $password 与 App Store Connect 中完全一致(区分大小写、无空格、无换行)。
在部分受限服务器环境中 cURL 可能被禁用,此时可采用 PHP 原生 stream_context_create + file_get_contents 方式发起 HTTPS POST 请求,同样支持 JSON 数据提交与 header 设置。
1、准备 $options 数组,顶层键为 http,子键包括 method => 'POST', header => "Content-type: application/json\r\n",content => json_encode(...)
2、调用 stream_context_create($options) 创建上下文资源。
3、使用 file_get_contents($en
dpoint, false, $context) 执行请求,注意捕获 warning 级错误以判断连接失败。
4、对返回结果做 json_decode,提取 status 与 receipt 字段;若 status ≠ 0,则优先比对 password 是否与 App Store Connect 页面中显示的字符逐字相同。
苹果验签不涉及客户端本地签名算法,但 password 字段的传输完整性等效于“签名凭证”。其有效性依赖于服务端构造时的精确性,任何格式偏差均会导致 21004 错误。
1、检查 $password 是否从 App Store Connect 复制时混入不可见 Unicode 字符(如零宽空格),建议粘贴至十六进制编辑器验证。
2、确认 receipt-data 字符串未被 trim()、urldecode() 或 htmlspecialchars() 等函数意外处理,应保持原始 Base64 字符序列。
3、在沙盒环境测试时,若收到 status=21007,说明请求发往了生产 endpoint,需强制将 $isSandbox 设为 true 并使用 sandbox.itunes.apple.com 地址。
4、若连续返回 status=21005,表明苹果服务器临时不可用,应记录时间戳并延迟重试,而非修改 password 或 receipt-data。
# php
# word
# html
# js
# json
# 编码
# app
# 苹果
# curl
# apple
# stream
# lsp
# red
# Array
# 封装
相关文章:
浙江网站制作公司有哪些,浙江栢塑信息技术有限公司定制网站做的怎么样?
免费制作小说封面的网站有哪些,怎么接网站批量的封面单?
如何高效完成自助建站业务培训?
网站制作软件免费下载安装,有哪些免费下载的软件网站?
如何在Golang中使用replace替换模块_指定本地或远程路径
如何在宝塔面板中修改默认建站目录?
定制建站流程解析:需求评估与SEO优化功能开发指南
jQuery 常见小例汇总
如何在建站之星网店版论坛获取技术支持?
独立制作一个网站多少钱,建立网站需要花多少钱?
兔展官网 在线制作,怎样制作微信请帖?
建站三合一如何选?哪家性价比更高?
建站之星如何修改网站生成路径?
最好的网站制作公司,网购哪个网站口碑最好,推荐几个?谢谢?
建站之星安装步骤有哪些常见问题?
焦点电影公司作品,电影焦点结局是什么?
建站之星后台密码遗忘如何找回?
网站插件制作软件免费下载,网页视频怎么下到本地插件?
电商网站制作价格怎么算,网上拍卖流程以及规则?
如何选择服务器才能高效搭建专属网站?
如何选择域名并搭建高效网站?
微信小程序 五星评分(包括半颗星评分)实例代码
c++怎么使用类型萃取type_traits_c++ 模板元编程类型判断【方法】
香港服务器网站测试全流程:性能评估、SEO加载与移动适配优化
制作网站的网址是什么,请问后缀为.com和.com.cn还有.cn的这三种网站是分别是什么类型的网站?
建站之星导航如何优化提升用户体验?
如何构建满足综合性能需求的优质建站方案?
SQL查询语句优化的实用方法总结
网站网页制作电话怎么打,怎样安装和使用钉钉软件免费打电话?
常州自助建站:操作简便模板丰富,企业个人快速搭建网站
如何在搬瓦工VPS快速搭建网站?
如何选择靠谱的建站公司加盟品牌?
制作营销网站公司,淘特是干什么用的?
如何选择高效稳定的ISP建站解决方案?
深入理解Android中的xmlns:tools属性
Swift开发中switch语句值绑定模式
如何确保FTP站点访问权限与数据传输安全?
网站制作和推广的区别,想自己建立一个网站做推广,有什么快捷方法马上做好一个网站?
在线ppt制作网站有哪些,请推荐几个好的课件下载的网站?
如何快速建站并高效导出源代码?
如何快速搭建高效简练网站?
如何在阿里云购买域名并搭建网站?
宝塔面板创建网站无法访问?如何快速排查修复?
制作网站公司那家好,网络公司是做什么的?
宝塔Windows建站如何避免显示默认IIS页面?
如何用美橙互联一键搭建多站合一网站?
如何快速启动建站代理加盟业务?
建站主机系统SEO优化与智能配置核心关键词操作指南
网站专业制作公司,网站编辑是做什么的?好做吗?工作前景如何?
如何彻底卸载建站之星软件?
*请认真填写需求信息,我们会在24小时内与您取得联系。
