公众号支付流程
- 在支付授权目录调用统一下单 API 获取预付单信息
prepay_id - 调用
wx.chooseWXPay发起支付请求 - 在回调目录中响应微信支付通知,并执行相关业务(保存交易记录和商户系统连接起来等等)
统一下单
先把配置做出来
const wxPayCfg = {
"appid": "wx1234675",
"mch_id": "100001",
"device_info": "WEB",
"nonce_str": "",
"body": "公众号-商品",
"out_trade_no": "", //商家订单号
"total_fee": 0,
"spbill_create_ip":"", //终端 ip --用户IP
"notify_url": "http://yourserver.com/wxpay/notice/", //回调地址
"trade_type": "JSAPI",
"openid": "" //公众号支付必须
}
微信支付有严格的授权目录要求,不能超过三个,所以我的选择是将所有支付发起都定在一个中间页上,通过传参确定支付的订单号和发起的用户,价格也可以通过参数传入,当然也可以通过自己商家系统来查询获得。服务端代码大致如下
发起微信支付请求需要传递的参数要求是这样的
wx.chooseWXPay({
timestamp: 0, // 支付签名时间戳,注意微信jssdk中的所有使用timestamp字段均为小写。但最新版的支付后台生成签名使用的timeStamp字段名需大写其中的S字符
nonceStr: '', // 支付签名随机串,不长于 32 位
package: '', // 统一支付接口返回的prepay_id参数值,提交格式如:prepay_id=***)
signType: '', // 签名方式,默认为'SHA1',使用新版支付需传入'MD5'
paySign: '', // 支付签名
success: function (res) {// 支付成功后的回调函数
}
});
备注:prepay_id 通过微信支付统一下单接口拿到,paySign 采用统一的微信支付 Sign 签名生成方法,注意这里 appId 也要参与签名,appId 与 config 中传入的 appId 一致,即最后参与签名的参数有appId, timeStamp, nonceStr, package, signType。
// 假定你的支付授权目录为 http://yourserver.com/wxpay/
let wxpayController = async (ctx, next)=> {
const { orderNum } = ctx.query
let amount = await getOrderAmount(orderNum) //假定这是一个拿订单价格的方法
let unifiedOrderResult = await invokeUnifiedOrder.call(ctx, amount)
if (unifiedOrderResult.return_code == 'SUCCESS' && unifiedOrderResult.result_code== 'SUCCESS' ) {
//统一下单请求成功后处理支付请求的配置
//这里有一点坑的地方是,这边传递的参数是驼峰写法,而上面统一下单请求是全小写
let payCfg = {
appId: wxPayCfg.appid,
timeStamp: parseInt(new Date().getTime() / 1000)+'',
nonceStr: createNonceStr(20),
package: 'prepay_id='+unifiedOrderResult.prepay_id
signType: 'MD5'
}
payCfg.paySign = generateSign(payCfg)
//这里就拿到支付请求的配置项,渲染到客户端就好了
await ctx.render('paypage', {
//渲染参考,这里用的是 `koa-ejs`模块,自己看一下实现
//客户端需要渲染一个 `wx.config` 和 `wx.chooseWXPay`
payCfg
})
}
}
这里用到了一个createNonceStr 生成随机字符,实现如下。另外generateSign 为生成签名方法,具体的实现在更下面,ctrl+f用起来吧。
/**
*@params len Number 需要的长度
*@return nonce_str String 字符串
*/
function createNonceStr(len=32) {
let str = 'abcdefghijklmnopqrstuvwxyz'
str += str.toUpperCase()
str += '0123456789'
let arr = Array(len).fill('')
let strArr = arr.map(item=>str[Math.floor( Math.random()*str.length ) ])
return strArr.join('')
}
后端拿到请求的参数 openid, orderNum, amount 的之后调用统一下单 API ,这里实现的方法是 invokeUnifiedOrder.call(ctx) 方便拿到 ctx.query 传参的值,统一下单方法大致长这样
/**
*@params amt Number 订单价格
*@return Promise 请求下单API的Promise
*/
function invokeUnifiedOrder(amt) {
let clientIp = this.request.ip.match(/\d+\.\d+\.\d+\.\d/)[0]
let obj = Object.assign({}, wxPayCfg)
obj.total_fee = amt
obj.nonce_str = createNonceStr()
obj.out_trade_no = this.query.orderNum
obj.openid = this.query.openid
obj.spbill_create_ip = clientIp
obj.sign = generateSign(obj)
let postXml = renderUnifiedPostXml(obj)
let rp = require('request-promise')
let opotions = {
uri: 'https://api.mch.weixin.qq.com/pay/unifiedorder',
method: 'POST'
body: postXml
}
return rp(options)
}
签名算法
这个请求包含了两个方法generateSign用于生成签名 。renderUnifiedPostXml 用于将对象转为微信规范的Xml,我是用 ejs 模块渲染,更简单的方法是直接拼接字符串,这里就不实现了,主要实现一个这个签名的算法。
//签名算法中最重要的是将对象排序拼接成字符串。
function generateSign(obj) {
let string = raw(obj) //将对象排序拼接为字符串
return md5(string).toUpperCase()
}
function raw(obj, lowerCase=false) {
//拼接字符串的方法,这里比较重要,微信有个官方的实现方法。
//但是有点点坑,复用性也不是太强,我稍微修改了一下。
//这个方法可以用在发送的数据,也可以用在接收的数据上
//要点① 字典排序
//要点② 值为空的属性不参与签名
//要点③ sign 参数不参与签名
//要点④ 真的要认认真真看文档
var keys = Object.keys(args);
keys = keys.sort()
var newArgs = {};
keys.forEach(function (key) {
if(key !='sign' && args[key] && ((''+args[key]).length > 0)) {
if(lowerCase) {
newArgs[key.toLowerCase()] = args[key];
} else {
newArgs[key] = args[key];
}
}
});
var string = '';
for (var k in newArgs) {
string += '&' + k + '=' + newArgs[k];
}
string = string.substr(1);
return string;
}
function md5(str) {
//对字符串进行 md5 加密,返回签名
let crypto = require('crypto')
let decipher = crypto.createHash('md5');
return decipher.update(str).digest('hex')
}
接收支付通知
在已经实现签名算法的前提下,其实支付通知倒是非常简单的一步,无非是路由设置好,接收到请求后校验一下签名和金额之类的。大致写一下这个中间件吧。
这里顺便提一下,Koa社区中接收 Post 请求的参数,如果参数类型是 json、form、text,一般是都是用 koa-bodyparser 这个中间件,解析 xml 有一个中间件是 koa-xml-body,我用的不多,比较常用的是 raw-body。话说这些优秀的中间件,无一例外都是下载量极高,由于足够稳定和优秀,反而 star 很少。
接收支付通知有三个步骤需要做的
- 校验签名,防止收到伪造的消息之类的。
- 检查这个通知是否已经处理过,微信有可能会多次通知同一个支付结果。如果处理过直接返回结果成功。
- 数据锁做并发控制(我暂时没有实现)
- 校验完金额,返回结果。
const getRawBody = require('raw-body')
const wxPayNotice = async (ctx, next) => {
let receivedXml = await getRawBody(ctx.req,{
length:ctx.req.headers['content-length'],
limit:'1mb',
encoding:ctx.charset
})
let receivedObj = await parseXmlToJs(receivedXml)
if (receivedObj.return_code == 'FAIL') {
ctx.status = 200
ctx.body = '<xml><return_code><![CDATA[FAIL]]></return_code></xml>'
return;
}
let checkSign = generateSign(receivedObj) //这个方法已经封装成自动剔除 sign 参数了。
if (checkSign !== receivedObj.sign ) return;
if(receivedObj.result_code == 'FAIL') {
//支付失败的情况,日志记录一下,返回结果就好
logger(`pay error!! ${receivedObj.transaction_id}: { errcode:${receivedObj.err_code},err_desc:${receivedObj.err_code_des} }` )
ctx.status = 200
ctx.body = '<xml><return_code><![CDATA[FAIL]]></return_code></xml>'
return;
}
let isRepeatedNotic = await databaseExist(receivedObj.transaction_id)
if(isRepeatedNotic) {
ctx.status = 200
ctx.body = '<xml><return_code><![CDATA[SUCCESS]]></return_code></xml>'
return
}
let returnCode='SUCCESS', returnResult='OK';
let replyXmlTpl = '<xml>'+
'<return_code><![CDATA[%returnCode%]]></return_code>'+
'<return_msg><![CDATA[%returnResult%]]></return_msg>'+
'</xml>'
let checkResult = checkWxPayResult(receivedObj) //根据订单号什么的去看看金额等是不是正确的,和自己的商户系统查询,这个自己按情况做就好了
if (!checkResult) { returnCode = 'FAIL'; returnResult= '支付结果校验失败'}
let replyXml = replyXmlTpl
.replace(/%returnCode%/, returnCode)
.replace(/%returnResult%/,returnResult)
ctx.status = 200
ctx.body = replyXml
}
到这里就写完了,至于这个数据锁的问题,我还要研究一下是应该在数据库操作还是在服务端操作,学习中。不好意思啦
