InApp 计费验证 Web 服务器 PHP 上的订单

我正在使用一个简单的 PHP 脚本来验证 Android 订单以解析客户的下载。

$receipt = $_GET['purchaseData'];
$billInfo = json_decode($receipt,true);
$signature = $_GET['dataSignature'];
$public_key_base64 = "xxxxxxxxxxxxxxxx";
$key =  "-----BEGIN PUBLIC KEY-----\n".
        chunk_split($public_key_base64, 64,"\n").
       '-----END PUBLIC KEY-----';   

$key = openssl_get_publickey($key);

$signature = base64_decode($signature);

//$result = openssl_verify($billInfo, $signature, $key);
$result = openssl_verify($receipt, $signature, $key);
if (0 === $result) {
        echo "0";
    } else if (1 !== $result) {
        echo "1";
    } else {
        echo "Hello World!";
    }

//added the var_dump($result); as asked by A-2-A
var_dump($result);

结果是0int(0)

我在发布订单后通过应用程序下了一个真实的订单，当尝试验证订单时，我得到的结果是“0”。

我尝试直接HTTP访问

https://domain.com/thankyou.php?purchaseData={"packageName":"com.example.app","orderId":"GPA.1234-5678-1234-98608","productId":"product","developerPayload":"mypurchasetoken","purchaseTime":1455346586453,"purchaseState":0,"developerPayload":"mypurchasetoken","purchaseToken":"ggedobflmccnemedgplmodhp...."}&dataSignature=gwmBf...

我保留第一个问题，因为我的结果仍然是一个猜测。经过进一步调查，我认为这是谷歌发送的签名没有以一种干净的方式被读取的原因。

The signature=gwmBfgGudpG5iPp3L0OnepNlx当浏览器将其读取为ƒ ~®v‘¹ˆúw

怎样才能让它以正确的方式被阅读呢？

要验证签名，您需要确保以下事项：

1. INAPP_PURCHASE_DATA没有以任何方式突变。任何编码或转义更改都将导致验证无效。确保它完好无损地到达服务器的最佳方法是对其进行 Base64 编码。
2. INAPP_DATA_SIGNATURE还必须保持完整，它应该已经经过 Base64 编码，因此将其发送到您的服务器应该不成问题。
3. openssl_验证 http://php.net/manual/en/function.openssl-verify.php期望两者data and signature参数处于原始状态，因此在验证之前进行 Base64 解码。
4. 还需要signature_alg作为最后一个参数，在本例中sha1WithRSAEncryption应该像默认的那样工作，但如果有疑问，请尝试其他一些sha1算法 http://php.net/manual/en/function.openssl-get-md-methods.php看看哪些有效。

我最好的猜测为什么它现在对你不起作用是因为你没有收到INAPP_PURCHASE_DATA在您的服务器上，其状态与在应用程序上收到的状态相同。这堆栈溢出 https://stackoverflow.com/questions/34749489/server-side-verification-of-google-play-in-app-billing-purchase-signature-failed/34756767#34756767问题有同样的问题。