0.准备工作
支付宝账号验证
签约接口
私钥生成
1. 拼凑订单
1.1 拼装订单
1.2 私钥签名
2 服务器端处理
2.1 支付宝处理流程图
3 代码实现
3.1 开启CURL
3.2 填写配置
3.3 订单签名
4 验签
1.1 私钥生成
私钥可以使用支付宝提供的RSA私钥生成工具。
1.2 将生成的公钥上传到支付宝
在签约管理处,点击查看PID | Key。输入支付密码之后既可以查看相关的公钥。
上传公钥
之后再添加密钥处复制自己的公钥(我的已经添加过了,此处显示为查看)
注意
- 此处是上传密钥,而不是上传私钥,私钥千万不能泄露出去,切记,在这里把自己的公钥公布给支付宝就行,让支付宝能够验证你的签名。
- 要在合作伙伴密钥管理这里添加公钥。而不是下面的开放平台密钥管理的地方
上传公钥
2. 服务器端处理
2.1 支付宝处理流程图
业务流程图
业务流程图
数据交互流程图
简单来说
- 客户端发起支付请求,在自己的服务器端生成订单并且使用私钥给订单签名
- 客户端使用拿到服务器端生成的字符串(订单字符串+签名字符串)交给支付宝SDK进行支付
- 支付宝会回调我们的服务器端,根据订单信息中传递的回调地址来访问我们的服务器,并且将订单信息和支付宝的签名字符串发送过来,我们可以在这个时候验证支付是否成功。
3 代码实现
根据上面的流程写具体代码即可。
首先导入支付宝的PHP SDK,下载地址
在支付宝文档中心下载移动支付(SDK&DEMO下载)
解压之后打开服务端demo->readme.txt。几乎所有的东西都在这个文档里了。
3.1 开启CURL
1、必须开启curl服务
(1)使用Crul需要修改服务器中php.ini文件的设置,找到php_curl.dll去掉前面的";"即可
(2)文件夹中cacert.pem文件请务必放置到商户网站平台中(如:服务器上),并且保证其路径有效,提供的代码demo中的默认路径是当前文件夹下——getcwd().'\\cacert.pem'```
### 3.2 填写配置
2、需要配置的文件是:
alipay.config.php
key文件夹```
alipay.config.php.打开这个文件之后,里面所有的配置信息都有相应的中文注释,按照注释填写即可。
3.3 订单签名
首先在你的支付类中引入lib\alipay_notify.class.php文件。
签名实现工具,需要的时候调用这个方法,传递需要参数,然后将字符串返回给客户端即可。
//调用方传递subject,body,price即可获取到签名后的字符串,contentId在签名过程中用不到,可以根据具体业务删除或保留
public function aliSignUtil($subject, $body, $price, $contentId)
{
$order['partner'] = '"商户号"';
$order['seller_id'] = '"商户Id"';
$order['out_trade_no'] = '"' . $this->getOrderNo() . '"';//获取订单号,保证唯一
$order['subject'] = '"' . $subject . '"';
$order['body'] = '"' . $body . '"';
$order['total_fee'] = '"' . $price . '"';
$order['notify_url'] = '"回调地址"';//支付宝支付成功之后的回调地址,必须公网可以访问
$order['service'] = '"mobile.securitypay.pay"';
$order['payment_type'] = '"1"';
$order['_input_charset'] = '"utf-8"';
$order['it_b_pay'] = '"30m"';
$order['return_url'] = '"m.alipay.com"';
//需要加签的内容处理成字符串
$data = createLinkstring($order);//支付宝提供的方法
//加签
$data = rsaSign($data, AliPay . DIRECTORY_SEPARATOR . 'key' . DIRECTORY_SEPARATOR . 'rsa_private_key.pem');//支付宝提供的签名方法,第二个参数是私钥地址
$history['sign'] = str_replace("\"", "", $data);
$order['sign'] = '"' . urlencode($data) . '"';
$order['sign_type'] = '"RSA"';
//订单信息处理成字符串
$result = createLinkstring($order);
//这里将history订单信息保存到了数据库,方便回调的时候根据订单号查询出是哪一个用户产生的订单。
$history['out_trade_no'] = str_replace("\"", "", $order['out_trade_no']);
$history['total_fee'] = str_replace("\"", "", $order['total_fee']);
$history['contentId'] = $contentId;
$this->saveOrder($history);//订单历史保存到数据库
//返回订单信息,客户端可以根据result来调用支付宝进行支付。
return html_entity_decode($result);
}
4验签
根据上面加签时候填写的回调地址,写支付宝验签代码
$order = $_POST;
$sign = $order;
//去除签名和签名方式以及controller和action,保留待签名信息
unset($sign['sign']);
unset($sign['sign_type']);
unset($sign['c']);
unset($sign['a']);
ksort($sign);
$sign = createLinkstring($sign);
//验证支付宝签名
$result = false;
$result = rsaVerify(
$sign,
AliPay . DIRECTORY_SEPARATOR . 'key' . DIRECTORY_SEPARATOR . 'alipay_public_key.pem',
$order['sign']);
$db = new Medoo();
//在订单历史表中按支付宝回调订单号查询出订单,判断状态
$result = $db->select('alipay', '*', ["out_trade_no" => $order["out_trade_no"]])[0];
//重复验证
if ($result['status'] == '1') {
echo 'success';
exit();
}
if ($result && $order['trade_status'] == 'TRADE_SUCCESS') {//验证支付宝签名成功,并且是支付成功的回调
//这里可以确定是支付宝进行的回调,并且是第一次成功的回调,在这里写支付成功之后的逻辑就好
$result['status'] = '1';
$num = $db->update('alipay', $result, ["out_trade_no" => $order["out_trade_no"]]);
//添加购买历史
$this->addBuyHistory("购买内容", 100, $db, $result['userId']);
//购买内容
if (!empty($result['contentId'])) {
$buy['contentId'] = $result['contentId'];
$buy['userId'] = $result['userId'];
$num = $db->insert('contentsubs', $buy);
}
//处理完成后输出succes给支付宝
echo 'success';
}
自此,支付宝完成了一次完整的支付。
