如何验证服务器创建的支付宝订单格式正确

APP支付接口:alipay.trade.app.pay
服务器端使用框架:Thinkphp5
登录蚂蚁金服开放平台 --> 创建应用 --> 添加App支付功能。具体查看官方文档
下载官方 SDK (PHP版本资源)——当前SDK版本:106  生成时间:2017-07-25 11:46:10
将SDK原码放置在TP5的vendor目录下的alipay文件夹(可根据实际使用框架技术进行实际调整)。

操作方法

  • 01

    支付接口调用原理 1、APP支付系统架构 APP支付系统架构图

  • 02

    2、数据校验原理 应用公钥(商户自身的RSA公钥):支付宝使用该公钥验证该交易是商户发起。 支付宝公钥(支付宝的RSA公钥):商户使用该公钥验证该结果是支付宝返回的。

  • 03

    3、系统交互流程 系统交互流程图

  • 04

    4、支付场景具体实现流程(最详细图解) 在集成App支付能力时,建议实现如下支付流程,创建订单并支付,根据返回的结果确定支付状态,并进行相应的异常处理,其过程如图所示. 支付场景具体实现流程 商家APP在创建订单并且唤起支付宝APP支付,流程如图所示,根据第2.2,3步返回的支付结果,确定支付状态,并且做相应的异常处理(必要时关闭订单)

代码实现

  • 01

    步骤1:商户APP端请求商户服务器接口,提交订单数据。

  • 02

    步骤2:商户服务器端接收数据,然后对数据进行签名,返回请求参数到商户APP端。 官方接口文档:https://docs.open.alipay.com/204/105465/ ——代码如下: //vendor();为TP5框架的方法,作用:导入第三方框架类库 vendor('alipay.aop.AopClient'); vendor('alipay.aop.request.AlipayTradeAppPayRequest'); //实例化支付接口 $aop = new \AopClient(); $aop->gatewayUrl = "https://openapi.alipay.com/gateway.do"; //支付宝网关 $aop->appId = “应用ID,填写你的APPID”; $aop->rsaPrivateKey = "商户私钥,您的原始格式RSA私钥()"; $aop->alipayrsaPublicKey = "支付宝公钥"; $aop->apiVersion = '1.0'; $aop->signType = "签名方式,如 RSA2 "; $aop->postCharset = 'UTF-8'; $aop->format = "json"; //实例化具体API对应的request类,类名称和接口名称对应,当前调用接口名称:alipay.trade.app.pay $appRequest = new \AlipayTradeAppPayRequest(); //SDK已经封装掉了公共参数,这里只需要传入业务参数 $bizcontent = json_encode([ 'body' => '余额充值',  //订单描述 'subject' => '充值',   //订单标题 'timeout_express' => '30m', 'out_trade_no' => ‘20170125test01’, //商户网站唯一订单号 'total_amount' => '0.01', //订单总金额 'product_code' => 'QUICK_MSECURITY_PAY', //固定值 ]); $appRequest->setNotifyUrl($url);  //设置异步通知地址 $appRequest->setBizContent($bizcontent); //这里和普通的接口调用不同,使用的是sdkExecute $response = $aop->sdkExecute($appRequest); //htmlspecialchars是为了输出到页面时防止被浏览器将关键参数html转义,实际打印到日志以及http传输不会有这个问题 echo htmlspecialchars($response);//就是orderString 可以直接给客户端请求,无需再做处理。 // 如果最后有问题可以尝试把htmlspecialchars方法去掉,直接返回$response

  • 03

    步骤3:商户APP接收从商户服务器端返回的请求参数,然后调起支付宝支付面板。 若用户支付成功,支付宝会同步给商户APP端返回一个支付结果。相应地,支付宝也会通过异步通知给商户服务器端返回一个支付结果。 注意:由于同步通知和异步通知都可以作为支付完成的凭证,且异步通知支付宝一定会确保发送给商户服务端。为了简化集成流程,商户可以将同步结果仅仅作为一个支付结束的通知(忽略执行校验),实际支付是否成功,完全依赖服务端异步通知。

  • 04

    步骤4:服务端异步通知处理机制(支付宝主动发起通知,该方式才会被启用) 官方接口文档:https://docs.open.alipay.com/204/105301/ 注意点: 1)必须保证服务器异步通知页面(notify_url)上无任何字符,如空格、HTML标签、开发系统自带抛出的异常提示信息等; 2)支付宝是用POST方式发送通知信息,因此该页面中获取参数的方式,如:$_POST[‘out_trade_no’]; 3)程序执行完后必须打印输出“success”(不包含引号)。如果商户反馈给支付宝的字符不是success这7个字符,支付宝服务器会不断重发通知,直到超过24小时22分钟。一般情况下,25小时以内完成8次通知(通知的间隔频率一般是:4m,10m,10m,1h,2h,6h,15h); 4)当商户收到服务器异步通知并打印出success时,服务器异步通知参数notify_id才会失效。 ——代码如下: $aop = new AopClient; $aop->alipayrsaPublicKey = '请填写支付宝公钥,一行字符串'; $flag = $aop->rsaCheckV1($_POST, NULL, "RSA2");  //验证签名 if($flag){ //校验通知数据的正确性 $out_trade_no = $_POST[‘out_trade_no'];    //商户订单号 $trade_no = $_POST[‘trade_no'];    //支付宝交易号 $trade_status = $_POST[‘trade_status'];    //交易状态trade_status $total_amount = $_POST[‘'total_amount'];    //订单的实际金额 $app_id = $_POST[‘app_id']; if($app_id!=$this->config['app_id']) exit('fail');    //验证app_id是否为该商户本身 //只有交易通知状态为TRADE_SUCCESS或TRADE_FINISHED时,支付宝才会认定为买家付款成功。 if($trade_status != 'TRADE_FINISHED' && $trade_status != 'TRADE_SUCCESS') exit('fail'); //校验订单的正确性 if(!empty($out_trade_no)){ //1、商户需要验证该通知数据中的out_trade_no是否为商户系统中创建的订单号; //2、判断total_amount是否确实为该订单的实际金额(即商户订单创建时的金额); //3、校验通知中的seller_id(或者seller_email) 是否为out_trade_no这笔单据的对应的操作方(有的时候,一个商户可能有多个seller_id/seller_email)。 //上述1、2、3有任何一个验证不通过,则表明本次通知是异常通知,务必忽略。在上述验证通过后商户必须根据支付宝不同类型的业务通知,正确的进行不同的业务处理,并且过滤重复的通知结果数据。 //校验成功后在response中返回success,校验失败返回failure } exit('fail'); } echo"fail"; //验证签名失败

  • 05

    步骤5:当商户APP端接收到支付宝的同步返回结果为成功时,商户APP端再请求商户服务器端API,判断订单最终支付结果,并做出最终响应。

(0)

相关推荐