APP支付接口:alipay.trade.app.pay
服務器端使用框架:TP5
登錄螞蟻金服開放平臺 --> 創建應用 --> 添加App支付功能。具體查看官方文檔
下載官方 SDK (PHP版本資源)——當前SDK版本:106 生成時間:2017-07-25 11:46:10
將SDK原碼放置在TP5的vendor目錄下的alipay文件夾(可根據實際使用框架技術進行實際調整)。
支付接口調用原理
1、APP支付系統架構
APP支付系統架構圖
2、數據校驗原理
數據校驗原理
應用公鑰(商戶自身的RSA公鑰):支付寶使用該公鑰驗證該交易是商戶發起。
支付寶公鑰(支付寶的RSA公鑰):商戶使用該公鑰驗證該結果是支付寶返回的。
3、系統交互流程
系統交互流程圖
4、支付場景具體實現流程(最詳細圖解)
在集成App支付能力時,建議實現如下支付流程,創建訂單並支付,根據返回的結果確定支付狀態,並進行相應的異常處理,其過程如下圖所示.
支付場景具體實現流程
商家APP在創建訂單並且喚起支付寶APP支付,流程如上圖所示,根據第2.2,3步返回的支付結果,確定支付狀態,並且做相應的異常處理(必要時關閉訂單)
代碼實現
步驟1:商戶APP端請求商戶服務器接口,提交訂單數據。
步驟2:商戶服務器端接收數據,然後對數據進行簽名,返回請求參數到商戶APP端。
官方接口文檔:/204/105465/
——代碼如下:
//vendor();為TP5框架的方法,作用:導入第三方框架類庫
vendor('alipay.aop.AopClient');
vendor('alipay.aop.request.AlipayTradeAppPayRequest');
//實例化支付接口
$aop = new \AopClient();
$aop->gatewayUrl = "/gateway.do"; //支付寶網關
$aop->appId = “應用ID,填寫妳的APPID”;
$aop->rsaPrivateKey = "商戶私鑰,您的原始格式RSA私鑰()";
$aop->alipayrsaPublicKey = "支付寶公鑰";
$aop->apiVersion = '1.0';
$aop->signType = "簽名方式,如 RSA2 ";
$aop->postCharset = 'UTF-8';
$aop->format = "json";
//實例化具體API對應的request類,類名稱和接口名稱對應,當前調用接口名稱:alipay.trade.app.pay
$appRequest = new \AlipayTradeAppPayRequest();
//SDK已經封裝掉了公***參數,這裏只需要傳入業務參數
$bizcontent = json_encode([
'body' => '余額充值', //訂單描述
'subject' => '充值', //訂單標題
'timeout_express' => '30m',
'out_trade_no' => ‘20170125test01’, //商戶網站唯壹訂單號
'total_amount' => '0.01', //訂單總金額
'product_code' => 'QUICK_MSECURITY_PAY', //固定值
]);
$appRequest->setNotifyUrl($url); //設置異步通知地址
$appRequest->setBizContent($bizcontent);
//這裏和普通的接口調用不同,使用的是sdkExecute
$response = $aop->sdkExecute($appRequest);
//htmlspecialchars是為了輸出到頁面時防止被瀏覽器將關鍵參數html轉義,實際打印到日誌以及/payment_notify&sign_type=RSA2×tamp=2016-08-25 20:26:31&version=1.0
2)再對原始字符串進行簽名
app_id=2015052600090779&biz_content={"timeout_express":"30m","product_code":"QUICK_MSECURITY_PAY","total_amount":"0.01","subject":"1","body":"我是測試數據","out_trade_no":"IQJZSRC1YMQB5HU"}&charset=utf-8&format=json&method=alipay.trade.app.pay?ify_url=/payment_notify&sign_type=RSA2×tamp=2016-08-25 20:26:31&version=1.0&sign=cYmuUnKi5QdBsoZEAbMXVMmRWjsuUj+y48A2DvWAVVBuYkiBj13CFDHu2vZQvmOfkjE0YqCUQE04kqm9Xg3tIX8tPeIGIFtsIyp/M45w1ZsDOiduBbduGfRo1XRsvAyVAv2hCrBLLrDI5Vi7uZZ77Lo5J0PpUUWwyQGt0M4cj8g=
3)最後對請求字符串的所有壹級value(biz_content作為壹個value)進行encode,編碼格式按請求串中的charset為準,沒傳charset按UTF-8處理,獲得最終的請求字符串:
app_id=2015052600090779&biz_content=%7B%22timeout_express%22%3A%2230m%22%2C%22product_code%22%3A%22QUICK_MSECURITY_PAY%22%2C%22total_amount%22%3A%220.01%22%2C%22subject%22%3A%221%22%2C%22body%22%3A%22%E6%88%91%E6%98%AF%E6%B5%8B%E8%AF%95%E6%95%B0%E6%8D%AE%22%2C%22out_trade_no%22%3A%22IQJZSRC1YMQB5HU%22%7D&charset=utf-8&format=json&method=alipay.trade.app.pay?ify_url=%2Fpayment_notify&sign_type=RSA2×tamp=2016-08-25%2020%3A26%3A31&version=1.0&sign=cYmuUnKi5QdBsoZEAbMXVMmRWjsuUj%2By48A2DvWAVVBuYkiBj13CFDHu2vZQvmOfkjE0YqCUQE04kqm9Xg3tIX8tPeIGIFtsIyp%2FM45w1ZsDOiduBbduGfRo1XRsvAyVAv2hCrBLLrDI5Vi7uZZ77Lo5J0PpUUWwyQGt0M4cj8g%3D
步驟3:商戶APP接收從商戶服務器端返回的請求參數,然後調起支付寶支付面板。
若用戶支付成功,支付寶會同步給商戶APP端返回壹個支付結果。相應地,支付寶也會通過異步通知給商戶服務器端返回壹個支付結果。
註意:由於同步通知和異步通知都可以作為支付完成的憑證,且異步通知支付寶壹定會確保發送給商戶服務端。為了簡化集成流程,商戶可以將同步結果僅僅作為壹個支付結束的通知(忽略執行校驗),實際支付是否成功,完全依賴服務端異步通知。
步驟4:服務端異步通知處理機制(支付寶主動發起通知,該方式才會被啟用)
官方接口文檔:/204/105301/
註意點:
1)必須保證服務器異步通知頁面(notify_url)上無任何字符,如空格、HTML標簽、開發系統自帶拋出的異常提示信息等;
2)支付寶是用POST方式發送通知信息,因此該頁面中獲取參數的方式,如:$_POST[‘out_trade_no’];
3)程序執行完後必須打印輸出“success”(不包含引號)。如果商戶反饋給支付寶的字符不是success這7個字符,支付寶服務器會不斷重發通知,直到超過24小時22分鐘。壹般情況下,25小時以內完成8次通知(通知的間隔頻率壹般是:4m,10m,10m,1h,2h,6h,15h);
4)當商戶收到服務器異步通知並打印出success時,服務器異步通知參數notify_id才會失效。
——代碼如下:
$aop = new AopClient;
$aop->alipayrsaPublicKey = '請填寫支付寶公鑰,壹行字符串';
$flag = $aop->rsaCheckV1($_POST, NULL, "RSA2"); //驗證簽名
if($flag){
//校驗通知數據的正確性
$out_trade_no = $_POST[‘out_trade_no']; //商戶訂單號
$trade_no = $_POST[‘trade_no']; //支付寶交易號
$trade_status = $_POST[‘trade_status']; //交易狀態trade_status
$total_amount = $_POST[‘'total_amount']; //訂單的實際金額
$app_id = $_POST[‘app_id'];
if($app_id!=$this->config['app_id']) exit('fail'); //驗證app_id是否為該商戶本身
//只有交易通知狀態為TRADE_SUCCESS或TRADE_FINISHED時,支付寶才會認定為買家付款成功。
if($trade_status != 'TRADE_FINISHED' && $trade_status != 'TRADE_SUCCESS')
exit('fail');
//校驗訂單的正確性
if(!empty($out_trade_no)){
//1、商戶需要驗證該通知數據中的out_trade_no是否為商戶系統中創建的訂單號;
//2、判斷total_amount是否確實為該訂單的實際金額(即商戶訂單創建時的金額);
//3、校驗通知中的seller_id(或者seller_email) 是否為out_trade_no這筆單據的對應的操作方(有的時候,壹個商戶可能有多個seller_id/seller_email)。
//上述1、2、3有任何壹個驗證不通過,則表明本次通知是異常通知,務必忽略。在上述驗證通過後商戶必須根據支付寶不同類型的業務通知,正確的進行不同的業務處理,並且過濾重復的通知結果數據。
//校驗成功後在response中返回success,校驗失敗返回failure
}
exit('fail');
}
echo"fail"; //驗證簽名失敗
步驟5:當商戶APP端接收到支付寶的同步返回結果為成功時,商戶APP端再請求商戶服務器端API,判斷訂單最終支付結果,並做出最終響應。