引言:
最近公司项目涉及到支付宝APP支付,因此打算总结一下此次开发过程中遇到的问题和解决方案,从头到尾打通支付宝服务端的代码思路,我用的服务端语言是PHP。
一、支付应用的创建和配置
1-1、登录蚂蚁金服开放平台首页(需实名认证的支付宝账号),点击创建支付应用,并配置应用信息,这里不做过多阐述,去开发指南自己看下。
1-2、着重讲一下密钥。在应用审核之前会让你配置密钥,这里使用支付宝提供的签名生成器,下载你电脑对应系统的版本。选择你开发用的语言和加密方式,其中2048指的是RSA2加密方式,1024指的是RSA加密,支付宝推荐使用RSA2。生成的相关密钥单击打开密钥文件即可查看,生成的密钥建议使用“密钥匹配”功能自检一下,如果匹配失败就重新生成。这两个密钥一定要保存好。
1-3、另外配置中应用网关和授权回调地址这两项容易理不清概念,看一下支付宝开发文档的解释,原文链接。
二、接入支付宝SDK
2-1、服务端sdk的获取。打开链接下载对应语言的SDK。解压后把整个目录放入项目对应文件下(这里建议改下名字),新建pay文件夹,这里就是我们支付逻辑的文件夹啦,可以在这里写生成支付和回调逻辑。
2-2、生成支付订单,这里可以在pay文件夹下新建一个OrderInfo.php文件。
2-3、代码
<?php
//这个地方要引入下面要用到的类
require_once '../aop/AopClient.php';
require_once '../aop/request/AlipayTradeAppPayRequest.php';
$aop = new AopClient;
//这里是支付宝网关,正式环境用这个即可,沙箱环境网关为 https://openapi.alipaydev.com/gateway.do
$aop->gatewayUrl = "https://openapi.alipay.com/gateway.do";
//填写appid,在应用的头上面有
$aop->appId = "app_id";
//这个地方填写私钥,就是我们在上面用工具生成的私钥,这个私钥必须是和上传到支付宝的公钥匹配,不让,支付宝访问的时候会匹配错误
$aop->rsaPrivateKey = '请填写开发者私钥去头去尾去回车,一行字符串';
$aop->format = "json";
$aop->charset = "UTF-8";
$aop->signType = "RSA2";
//这个地方的公钥也是一样,必须是上传到支付宝的那个公钥要一样
$aop->alipayrsaPublicKey = '请填写支付宝公钥,一行字符串';
//实例化具体API对应的request类,类名称和接口名称对应,当前调用接口名称:alipay.trade.app.pay
$request = new AlipayTradeAppPayRequest();
//SDK已经封装掉了公共参数,这里只需要传入业务参数
$bizcontent = "{\"body\":\"我是测试数据\","
. "\"subject\": \"App支付测试\","
. "\"out_trade_no\": \"20170125test01\","
. "\"timeout_express\": \"30m\","
. "\"total_amount\": \"0.01\","
. "\"product_code\":\"QUICK_MSECURITY_PAY\""
. "}";
$request->setNotifyUrl("商户外网可以访问的异步地址");//这个是异步回调地址
$request->setBizContent($bizcontent);
//调用sdkExecute生成订单url
$response = $aop->sdkExecute($request);
/*htmlspecialchars是为了输出到页面时防止被浏览器将关键参数html转义,实际打印到日志以及http传输不会有这个问题
*如果这里需要用json返回可以去掉htmlspecialchars
*/
echo htmlspecialchars($response);//就是orderString 可以直接给客户端请求,无需再做处理。
?>
2-4、回调处理,这里说一下异步回调,因为判断支付成功最终要依赖异步回调的结果。同步通知参考开发者文档。
<?php
/**
* 支付宝回调结果处理
*/
//引入一下文件
require_once '../aop/AopClient.php';
require_once '../aop/request/AlipayTradeAppPayRequest.php';
//把回调记录放入日志文件
$file = 'log.txt';
$contents='平台单号:'.$_POST['out_trade_no'].','.'交易金额:'.$_POST['total_amount'].','.'合作伙伴id:'.$_POST['seller_id'].','.'app_id:'.$_POST['seller_id'].','.'付款时间:'.$_POST['gmt_payment'].',sign:'.$_POST['sign']."\r\n";
file_put_contents($file, $contents,FILE_APPEND);
//支付宝公钥,账户中心->密钥管理->开放平台密钥,找到添加了支付功能的应用,根据你的加密类型,查看支付宝公钥
$aop = new AopClient;
$aop->alipayrsaPublicKey = '填写你打的支付宝公钥';
//验证签名
$result = $aop->rsaCheckV1($_POST,null,$_POST['sign_type']);
file_put_contents($file, '验签结果:'.$result."\r\n",FILE_APPEND);
if($result==='TURE'){
//1、签名验证通过后需做以下操作,所有操作全部判定成功后才视为支付成功。
//1-1、商户需要验证该通知数据中的out_trade_no是否为商户系统中创建的订单号;
//1-2、判断total_amount是否确实为该订单的实际金额(即商户订单创建时的金额);
//1-3、校验通知中的seller_id(或者seller_email) 是否为out_trade_no这笔单据对应的操作方(有的时候,一个商户可能有多个seller_id/seller_email);
//1-4、验证app_id是否为该商户本身。
//2、判断返回状态,并根据返回状态做相应处理,
//2-1、状态TRADE_SUCCESS的通知触发条件是商户签约的产品支持退款功能的前提下,买家付款成功;
//2-2、状态TRADE_FINISHED的通知触发条件是商户签约的产品不支持退款功能的前提下,买家付款成功;或者,商户签约的产品支持退款功能的前提下,交易已经成功并且已经超过可退款期限。
if( $trade_status == 'TRADE_FINISHED') {
//处理更新订单状态等相关逻辑
if($row){
echo "success";
}else{
echo "fail";
}
}elseif ($trade_status == 'TRADE_SUCCESS'){
//处理更新订单状态等相关逻辑
if($row){
echo "success";
}else{
echo "fail";
}
}
//程序执行完后必须打印输出“success”(不包含引号)。如果商户反馈给支付宝的字符不是success这7个字符,支付宝服务器会不断重发通知,直到超过24小时22分钟。一般情况下,25小时以内完成8次通知(通知的间隔频率一般是:4m,10m,10m,1h,2h,6h,15h);
}else{
//验签失败
echo 'fail';exit();
}
2-5、关于验签失败
验签失败的原因很多,这里不做说明,建议登录蚂蚁金服开发者社区搜问题或者提问,社区很活跃,一般1-3小时内就会有技术人员回复。贴一下我找到的验签文档,验签失败自查方案-支付宝接口常见错误系列。
附言:
以上就是我做支付宝APP支付的心得,纯属个人观点。
如有不足或者技术交流,欢迎加入PHP交流群:629174510。