APP支付接口:alipay.trade.app.pay
服务器端使用框架:Thinkphp5
登录蚂蚁金服开放平台 --> 创建应用 --> 添加App支付功能。具体查看官方文档
下载官方 SDK (PHP版本资源)——当前SDK版本:106 生成时间:2017-07-25 11:46:10
将SDK原码放置在TP5的vendor目录下的alipay文件夹(可根据实际使用框架技术进行实际调整)。
支付接口调用原理1、APP支付系统架构APP支付系统架构图
2、数据校验原理应用公钥(商户自身的RSA公钥):支付宝使用该公钥验证该交易是商户发起。支付宝公钥(支付宝的RSA公钥):商户使用该公钥验证该结果是支付宝返回的。
3、系统交互流程系统交互流程图
4、支付场景具体实现流程(最详细图解)在集成App支付能力时,建议实现如下支付流程,创建订单并支付,根据返回的结果确定支付状态,并进行相应的异常处理,其过程如图所示.支付场景具体实现流程商家APP在创建订单并且唤起支付宝APP支付,流程如图所示,根据第2.2,3步返回的支付结果,确定支付状态,并且做相应的异常处理(必要时关闭订单)
步骤1:商户APP端请求商户服务器接口,提交订单数据。
步骤2:商户服务器端接收数据,然后对数据进行签名,返回请求参数到商户APP端。官方接口文档:https://docs.open.alipay.com/204/105465/——代码如下://vendor();为TP5框架的方法,作用:导入第三方框架类库vendor('alipay.aop.AopClient');vendor('alipay.aop.request.AlipayTradeAppPayRequest');//实例化支付接口$aop = new \AopClient();$aop->gatewayUrl = "https://openapi.alipay.com/gateway.do"; //支付宝网关$aop->appId = “应用ID,填写你的APPID”;$aop->rsaPrivateKey = "商户私钥,您的原始格式RSA私钥()";$aop->alipayrsaPublicKey = "支付宝公钥";$aop->apiVersion = '1.0';$aop->signType = "签名方式,如 RSA2 ";$aop->postCharset = 'UTF-8';$aop->format = "json";//实例化具体API对应的request类,类名称和接口名称对应,当前调用接口名称:alipay.trade.app.pay$appRequest = new \AlipayTradeAppPayRequest();//SDK已经封装掉了公共参数,这里只需要传入业务参数$bizcontent = json_encode(['body' => '余额充值', //订单描述'subject' => '充值', //订单标题'timeout_express' => '30m','out_trade_no' => ‘20170125test01’, //商户网站唯一订单号'total_amount' => '0.01', //订单总金额'product_code' => 'QUICK_MSECURITY_PAY', //固定值]);$appRequest->setNotifyUrl($url); //设置异步通知地址$appRequest->setBizContent($bizcontent);//这里和普通的接口调用不同,使用的是sdkExecute$response = $aop->sdkExecute($appRequest);//htmlspecialchars是为了输出到页面时防止被浏览器将关键参数html转义,实际打印到日志以及http传输不会有这个问题echo htmlspecialchars($response);//就是orderString 可以直接给客户端请求,无需再做处理。// 如果最后有问题可以尝试把htmlspecialchars方法去掉,直接返回$response
步骤3:商户APP接收从商户服务器端返回的请求参数,然后调起支付宝支付面板。若用户支付成功,支付宝会同步给商户APP端返回一个支付结果。相应地,支付宝也会通过异步通知给商户服务器端返回一个支付结果。注意:由于同步通知和异步通知都可以作为支付完成的凭证,且异步通知支付宝一定会确保发送给商户服务端。为了简化集成流程,商户可以将同步结果仅仅作为一个支付结束的通知(忽略执行校验),实际支付是否成功,完全依赖服务端异步通知。
步骤4:服务端异步通知处理机制(支付宝主动发起通知,该方式才会被启用)官方接口文档:https://docs.open.alipay.com/204/105301/注意点:1)必须保证服务器异步通知页面(notify_url)上无任何字符,如空格、HTML标签、开发系统自带抛出的异常提示信息等;2)支付宝是用POST方式发送通知信息,因此该页面中获取参数的方式,如:$_POST[‘out_trade_no’];3)程序执行完后必须打印输出“success”(不包含引号)。如果商户反馈给支付宝的字符不是success这7个字符,支付宝服务器会不断重发通知,直到超过24小时22分钟。一般情况下,25小时以内完成8次通知(通知的间隔频率一般是:4m,10m,10m,1h,2h,6h,15h);4)当商户收到服务器异步通知并打印出success时,服务器异步通知参数notify_id才会失效。——代码如下:$aop = new AopClient;$aop->alipayrsaPublicKey = '请填写支付宝公钥,一行字符串';$flag = $aop->rsaCheckV1($_POST, NULL, "RSA2"); //验证签名if($flag)exit('fail');}echo"fail"; //验证签名失败
步骤5:当商户APP端接收到支付宝的同步返回结果为成功时,商户APP端再请求商户服务器端API,判断订单最终支付结果,并做出最终响应。
在调试过程中要对代码的安全细节做完善,以免数据被泄露
