苹果APP内购回调PHP怎么接收_处理iOS内购通知参数方法【操作】

苹果内购回调PHP处理核心是必须用官方接口二次验签并自动适配沙盒/正式环境；需清洗receipt-data换行符、先正式地址验签失败再按status码切换、从in_app数组取transaction_id等字段、v2订阅通知需JWT验签且与v1不兼容。

苹果内购回调 PHP 接收和处理的核心是：别直接信客户端传的 receipt-data，必须用 Apple 官方接口二次验签，且要自动适配沙盒/正式环境 —— 否则 90% 的失败都卡在这一步。

怎么接收 iOS 传来的 receipt-data？注意换行和 base64 编码陷阱

iOS 端调用 SKPaymentTransaction.transactionReceipt 后会返回原始二进制数据，再经 base64EncodedString(options: .endLineWithLineFeed) 编码 —— 这意味着字符串里可能含 \n 和 \r，但 PHP 的 $_POST 或 $this->request->post() 默认不会自动 trim 换行符，会导致验签失败（状态码 21002）。

• 务必对 receipt-data 做 str_replace(["\n", "\r"], "", $receipt_data) 清洗
• 绝对不要对 +、/、= 做 URL 解码或替换（iOS base64 不用 URL-safe 变种）
• 长度校验不能只看 strlen，要先清洗再判断：if (strlen($receipt_data) （真实票据一般 >1000 字符）

如何自动判断沙盒 or 正式环境？别硬编码开关

Apple 要求：沙盒票据只能发给沙盒地址验证，正式票据只能发给正式地址。但 iOS 客户端不告诉你当前是哪个环境，也不能靠 is_test 参数（它不可靠，且新版 iOS 已弃用）。

• 正确做法：先用正式地址 https://buy.itunes.apple.com/verifyReceipt 请求一次
• 如果返回 status === 21007（沙盒票据打正式地址），立刻用沙盒地址重试
• 如果返回 status === 21008（正式票据打沙盒地址），说明客户端配置错，应记录日志并拒绝
• 别用设备 UDID、Bundle ID 或 IP 判断环境 —— 全部无效且违反 Apple 政策

验签成功后怎么提取关键业务字段？重点看 in_app 数组

验签返回的 JSON 中，有效购买信息全在 receipt['in_app'] 数组里（即使单次购买也是数组），不是顶层 receipt 字段。常见误操作是直接读 $data['receipt']['product_id'] —— 会报错或取空。

• transaction_id 是唯一支付 ID，必须存库用于防重（Apple 允许同一票据多次提交，但 transaction_id 绝对唯一）
• original_transaction_id 对订阅首次购买很重要，续订时保持一致
• purchase_date_ms 是毫秒时间戳，PHP 用 (int)($item['purchase_date_ms'] / 1000) 转为标准时间
• 检查 quantity 字段，避免客户端恶意改包传高数量（如买 1 次传 quantity=999）

v2 订阅通知（JWS）和传统 receipt 验证完全不是一回事

如果你接入的是 Apple 订阅服务（尤其是自动续期订阅），2025 年起 Apple 强制要求使用 v2 通知（JWS 格式），它不是 JSON，而是三段 base64 字符串（header.payload.signature），需用 JWT 库 + 苹果根证书验签，和老的 verifyReceipt 接口互不兼容。

• v2 通知是 Apple 主动 POST 到你服务器的 Webhook（不是客户端回调），路径如 /api/apple/notify
• 必须验证 $header['x5c'][0] 是否匹配苹果官方 AppleRootCA-G3.pem（不是系统自带证书）
• 不能用 json_decode 直接解 payload —— 必须用 JWT::decode($jws, $public_key, ['RS256'])，否则验签失败
• 老项目还在用 v1 receipt 验证的，只要没上订阅功能，可暂不升级；但凡有订阅，v1 就无法处理退款、续订、过期等事件

最常被忽略的一点：Apple 的 verifyReceipt 接口响应中，status === 0 只代表票据格式合法，不代表「这笔钱已到账」—— 你还得比对 bundle_id、product_id、transaction_id 是否与你订单一致，否则黑产可复用他人票据完成虚假支付。

# php  # js  # json  # 编码  # app  # 苹果  # ios  # apple  # 状态码  # 退款  # strlen  # if  # 字符串  # int  # 接口  # 事件  # this  # https  # 客户端  # 的是  # 如果你  # 还在  # 尤其是  # 首次  # 换行符  # 不代表  # 只代表  # 很重要 

相关文章： 网页制作模板网站推荐,网页设计海报之类的素材哪里好？  网站制作与设计教程,如何制作一个企业网站，建设网站的基本步骤有哪些？  如何基于PHP生成高效IDC网络公司建站源码？  ,网页ppt怎么弄成自己的ppt？  网站制作话术技巧,网站推广做的好怎么话术？  深圳防火门网站制作公司,深圳中天明防火门怎么编码？  ,南京靠谱的征婚网站？  如何获取免费开源的自助建站系统源码？  在线流程图制作网站手机版,谁能推荐几个好的CG原画资源网站么？  北京网页设计制作网站有哪些,继续教育自动播放怎么设置？  c++如何打印函数堆栈信息_c++ backtrace函数与符号名解析【方法】  已有域名和空间如何搭建网站？  rsync同步时出现rsync: failed to set times on “xxxx”: Operation not permitted  Python文件管理规范_工程实践说明【指导】  建站与域名管理如何高效结合？  宝塔建站教程：一键部署配置流程与SEO优化实战指南  电商平台网站制作流程,电商网站如何制作？  linux top下的 minerd 木马清除方法  建站之星24小时客服电话如何获取？  已有域名能否直接搭建网站？  如何使用Golang安装API文档生成工具_快速生成接口文档  代刷网站制作软件,别人代刷火车票靠谱吗？  如何用美橙互联一键搭建多站合一网站？  Android自定义listview布局实现上拉加载下拉刷新功能  如何制作网站标识牌,动态网站如何制作（教程）？  实现点击下箭头变上箭头来回切换的两种方法【推荐】  常州自助建站：操作简便模板丰富，企业个人快速搭建网站  微信小程序制作网站有哪些,微信小程序需要做网站吗？  建站VPS选购需注意哪些关键参数？  广东专业制作网站有哪些,广东省能源集团有限公司官网？  公司网站制作价格怎么算,公司办个官网需要多少钱？  北京的网站制作公司有哪些,哪个视频网站最好？  建站之星代理费用多少？最新价格详情介绍  网站好制作吗知乎,网站开发好学吗？有什么技巧？  如何零成本快速生成个人自助网站？  电视网站制作tvbox接口,云海电视怎样自定义添加电视源？  建站之星2.7模板快速切换与批量管理功能操作指南  矢量图网站制作软件,用千图网的一张矢量图做公司app首页，该网站并未说明版权等问题，这样做算不算侵权？应该如何解决？  太原网站制作公司有哪些,网约车营运证查询官网？  家族网站制作贴纸教程视频,用豆子做粘帖画怎么制作？  盘锦网站制作公司,盘锦大洼有多少5G网站？  网站制作怎么样才能赚钱,用自己的电脑做服务器架设网站有什么利弊，能赚钱吗？  建站主机选虚拟主机还是云服务器更好？  小建面朝正北，A点实际方位是否存在偏差？  香港服务器建站指南：外贸独立站搭建与跨境电商配置流程  建站之星各版本价格是多少？  如何配置WinSCP新建站点的密钥验证步骤？  活动邀请函制作网站有哪些,活动邀请函文案？  如何通过二级域名建站提升品牌影响力？  网站制作公司广州有几家,广州尚艺美发学校网站是多少？