自己总结的微信支付宝支付流程和注意点：

准备工作：

需要公司的营业执照，税务信息，等老板的身份证信息等，我记得，用这些材料，去支付宝注册一个商家账户（审核周期大概5个工作日），或者微信的开发者账号（审核周期大概5个工作日，300元费用），微信的话，需要你的app已经上架有了APPID，才能开通；大概也是5个工作日

用微信支付时：用户点击支付按钮时要先判断有没有安装微信，以及当前的微信版本是否支持支付，都满足则进入到微信界面，调起微信支付，在进行微信支付的

支付文档链接：https://pay.weixin.qq.com/wiki/doc/api/app/app.php?chapter=8_1

支付宝支付分为：支付宝有“移动快捷支付”（支付时跳转到支付宝APP，需要用户安装支付宝APP），或者“移动WAP网页支付”（支付时打开一个WebView里边登陆支付宝进行支付）我看到大部分app美团大众点评支付宝支付都是第二种

支付宝支付步骤：

1.先与支付宝签约，获得商户ID（partner）和账号ID(seller)

2.下载相应的公钥私钥文件（用来加密签名）

3.下载支付宝SDK

4.生产订单信息（客户端或放在服务端生成订单号，支付宝支付成功后会通知服务端，这样在服务端生成订单的话，可以掌握所有的订单，而且还会更加安全）

5.调用支付宝支付接口发送订单，由支付宝客户端跟支付宝安全服务器打交道

6.支付完毕后返回支付结果给商户客户端，进行结构处理

安全问题：接收到的支付结果可能被截获修改。所以，就需要在生成订单和处理支付结果时做安全性校验

生成订单时对数据签名，收到支付结果时对数据进行签名验证，以检验数据是否被篡改过。

支付宝目前只支持采用RSA加密方式做签名验证。

RSA加密算法除了可加解密外，还可用来作签名校验。

简单的说，RSA会生成一个私钥和一个公钥，私钥你应该独自保管，公钥你可以分发出去。

做签名验证时，你可以用私钥对需要传输的数据做签名加密，生成一个签名值，之后分发数据，接收方通过公钥对签名值做校验，如果一致则认为数据无篡改

具体到支付宝使用RSA做签名验证，就是在生产订单时，需要使用私钥生成签名值；在处理返回的支付结果时，需要使用公钥验证返回结果是否被篡改了。

实例代码：

@WeakObj(self);

NDHttpRequestManage*request = [NDHttpRequestManagerequestManage];

//需要传给支付宝的AppScheme

NSString*appScheme =@"aaa2015080600202133";

[requestuserObtainAliSign:[self.user.userIDndValue]

AndTradeNo:_tradeNo

complete:^(idcompleteObject,NSError*error )

{

@StrongObj(self);

[self.indicationstopAnimationWithLoadText:@"finish"withType:YES];

self.indication=nil;

if(!error){

//签名信息以及订单信息

NSString*String = [completeObjectobjectForKey:@"sign"];

NSString*orderSpec = [completeObjectobjectForKey:@"content"];

if([signisKindOfClass:[NSNullclass]] || sign ==nil){

[selfshowDissmissSelfAlertViewTitle:@""message:@"支付失败，请重新尝试。"complete:^{

}];

return;}

//urlcode加密

NSString*signedString = [selfurlEncodedString:String];

NSString*orderString  =nil;

if(signedString !=nil){

//生成订单信息及签名请求参数

orderString = [NSStringstringWithFormat:@"%@&sign=\"%@\"&sign_type=\"%@\"",

orderSpec, signedString,@"RSA"];

}

//调用支付宝的SDK[[AlipaySDKdefaultService]payOrder:orderStringfromScheme:appSchemecallback:^(NSDictionary*resultDic){

//resultDic  这个字典是返回我所有的支付成功或者失败的信息

NSString* key =@"ResultStatus";

if(![[resultDicallKeys]containsObject:key]) {

key =@"resultStatus";

}

if(key !=nil){

//返回9000 就是成功

if([[resultDicobjectForKey:key]integerValue] ==9000) {

//订单成功.

[selfpaySuccess];

}else{

//订单失败.

[selfpayFailed];

}

}

}];

}

}];

-(NSString*)urlEncodedString:(NSString*)string

{

NSString* encodedString = (__bridge_transferNSString*)CFURLCreateStringByAddingPercentEscapes(kCFAllocatorDefault, (__bridgeCFStringRef)string,NULL, (__bridgeCFStringRef)@"!*'();:@&=+$,/?%#[]",kCFStringEncodingUTF8);

returnencodedString;

}

集成

清楚了流程后，就好理解怎么集成了。

支付SDK

如果只需要发送订单和处理支付返回结果，只需要添加AlipaySDK.bundle和AlipaySDK.framework就行了。

这里再吐槽下，之前用的旧版本，和现在的版本相比，还不光是把类名字给改了，原先是用的类方法，现在新版又给改成了单例了。。还真是任性啊，这要是哪家小厂的SDK，估计早被弃用了把。。

发送订单的方法：

- (void)payOrder:(NSString *)orderStr

fromScheme:(NSString *)schemeStr

callback:(CompletionBlock)completionBlock;

如果手机内没安装支付宝的app，会直接展现支付宝web支付界面，通过callback返回支付结果；

如果手机内安装了支付宝的app，会跳转到支付宝的app支付，然后通过openURL的回调返回支付结果。

支付宝的SDK只给了一个处理返回结果的方法，而不像其他第三方的SDK提供一个处理openURL的方法，所以你需要通过DEMO或者在第二个文档里找到处理openURL的方式：

if ([url.host isEqualToString:@"safepay"]) {

[[AlipaySDK defaultService] processOrderWithPaymentResult:url

standbyCallback:^(NSDictionary *resultDic) {

NSLog(@"result = %@",resultDic);

}]; }

SDK也提供了一个处理openURL返回结果的方法

- (void)processOrderWithPaymentResult:(NSURL *)resultUrl

standbyCallback:(CompletionBlock)completionBlock;

两个回调block都统一定义为typedef void(^CompletionBlock)(NSDictionary *resultDic);，

返回了一个字典，但是SDK里完全没有提示有哪些key。。

你可以在文档里找到，或者自己实际试一下，返回的信息如下：

resultStatus，状态码，SDK里没对应信息，第一个文档里有提到：

9000 订单支付成功

8000 正在处理中

4000 订单支付失败

6001 用户中途取消

6002 网络连接出错

memo， 提示信息，比如状态码为6001时，memo就是“用户中途取消”。但千万别完全依赖这个信息，如果未安装支付宝app，采用网页支付时，取消时状态码是6001，但这个memo是空的。。（当我发现这个问题的时候，我就决定，对于这么不靠谱的SDK，还是尽量靠自己吧。。）

result，订单信息，以及签名验证信息。如果你不想做签名验证，那这个字段可以忽略了。。

如果你对支付的安全性不那么在意或重视的话，到这里就可以完成支付宝的集成了。

如果想更加安全，还是需要增加下面的签名验证的。

签名验证

首先，RSA只是一种算法，所以你可以使用任何一种开源的、或者自己去实现这个算法来实现签名和验证的目的。

在整个流程当中，因为涉及到了RSA公钥、私钥的生产，RSA的签名、验证签名，SHA1值的计算，base64和URL编码，所以支付宝用了一个开源的代码来统一解决这些问题，就是openssl（顺便再吐槽下，这DEMO里一放openssl，不知道又会引来多少公司的产品里使用openssl了，估计阿里自己也没少用，什么时候都能跟老罗、华为一样去赞助点呢。。）

如果你想省事，也用openssl，那你需要把这些东西都加入到项目中：DEMO中的openssl目录头文件，两个库文件libcrypto.a libssl.a，DEMO里支付宝自己写的Util目录

订单签名

上面说了，订单签名应该用私钥，但是把私钥放到app里其实本身就不安全，因为你的app是分发到用户手里的，私钥应该放在自己的手里，分发出去的应该是公钥。

所以私钥最好是放在自己的服务器上，订单加密这个工作放在服务器端来做，服务器将包含签名的订单信息返回给app，app再通过SDK发送给支付宝，这样会更安全些；而且服务器也能掌握所有的订单状况。

如果你非要将私钥集成到app里，那可以参考SDK的DEMO，因为这个DEMO就是在app本地通过私钥做的订单签名。。

支付结果签名验证

上面的回调block提到了返回的内容，返回的支付结果中的result字段里是带有订单信息和签名信息的，所以签名验证就是需要这个字段的值。

文档中有一个这个字段的例子，实际结果没有换行，我换一下行便于阅读：

partner="2088101568358171"&seller_id="xxx@alipay.com"&out_trade_no="0819145412-6177"&subject="测试"&body="测试测试"&total_fee="0.01"¬ify_url="http://notify.msp.hk/notify.htm"&service="mobile.securitypay.pay"&payment_type="1"&_input_charset="utf-8"&it_b_pay="30m"&success="true"&sign_type="RSA"&sign="hkFZr+zE9499nuqDNLZEF7W75RFFPsly876QuRSeN8WMaUgcdR00IKy5ZyBJ4eldhoJ/2zghqrD4E2G2mNjs3aE+HCLiBXrPDNdLKCZ gSOIqmv46TfPTEqopYfhs+o5fZzXxt34fwdrzN4mX6S13cr3UwmEV4L3Ffir/02RBVtU="

总共分为三个部分

第一部分是订单信息，每个字段的具体含义可以在文档里找；

中间sign_type是签名用的算法，文档里说了，目前只支持RSA；

最后的sign就是签名值。

验证的步骤如下：

首先把订单信息和签名值分别提取出来（SDK居然都不给处理好。。）

订单信息就是sign_type的连字符&之前的所有字符串

签名值是sign后面双引号内的内容，注意签名的结尾也是=，所以不要用split字符串的方式提取

如果你想简单，可以直接使用Util目录下的DataVerifier来作签名验证

- (BOOL)verifyString:(NSString *)string withSign:(NSString *)signString;

第一个参数就是订单信息，第二个参数就是签名值。

其实不使用openssl，用其他第三方RSA的开源代码也是可以的。可以看下DEMO里openssl_wrapper的源码和SDK的文档。

对于订单信息，先做一个base64编码（DEMO中这个还要调openssl来实现。。），再计算SHA1的值（这个也可以完全不用openssl，苹果的库中都有的。。），然后再签名比对。

对于公钥，如果使用其他第三方代码，需要注意格式问题。支付宝的DEMO实现中，是把这个公钥又转回成openssl生成的本地文件格式，然后再写入本地文件，再让openssl读取出来使用。。

以上，就是支付宝 iOS SDK的一些介绍。

总体来说，我觉得能靠自己处理的地方还是尽量不要依赖这个不太靠谱的SDK了。

微信支付步骤：https://pay.weixin.qq.com/wiki/doc/api/app/app.php?chapter=9_1#

邮件中参数API参数名详细说明

APPIDappidappid是微信公众账号或开放平台APP的唯一标识，在公众平台申请公众账号或者在开放平台申请APP账号后，微信会自动分配对应的appid，用于标识该应用。可在微信公众平台-->开发者中心查看，商户的微信支付审核通过邮件中也会包含该字段值。

微信支付商户号mch_id商户申请微信支付后，由微信支付分配的商户收款账号。

API密钥key交易过程生成签名的密钥，仅保留在商户系统和微信支付后台，不会在网络中传播。商户妥善保管该Key，切勿在网络中传输，不能在其他客户端中存储，保证key不会被泄漏。商户可根据邮件提示登录微信商户平台进行设置。也可按一下路径设置：微信商户平台(pay.weixin.qq.com)-->账户设置-->API安全-->密钥设置

AppsecretsecretAppSecret是APPID对应的接口密码，用于获取接口调用凭证access_token时使用。

商户系统和微信支付系统主要交互说明：

步骤1：用户在商户APP中选择商品，提交订单，选择微信支付。

步骤2：商户后台收到用户支付单，调用微信支付统一下单接口。参见【统一下单API】。

步骤3：统一下单接口返回正常的prepay_id，再按签名规范重新生成签名后，将数据传输给APP。参与签名的字段名为appId，partnerId，prepayId，nonceStr，timeStamp，package。注意：package的值格式为Sign=WXPay

以上信息都是有后台服务器调用微信的支付接口获得并返给App端的

步骤4：商户APP调起微信支付。api参见本章节【app端开发步骤说明】

步骤5：商户后台接收支付通知。api参见【支付结果通知API】

步骤6：商户后台查询支付结果。，api参见【查询订单API】

例子

NDHttpRequestManage*request = [NDHttpRequestManagerequestManage];

[requestuserGetWeiXinSign:[self.user.userIDndValue]AndTradeNo:_tradeNocomplete:^(idcompleteObject,NSError*error)

{

@StrongObj(self);

[self.indicationstopAnimationWithLoadText:@"finish"withType:YES];

self.indication=nil;

if(!error)

{

appDelegate.loginDone=nil;

NSString*str = completeObject[@"sign"];

[selfcheckSignFromSign:str];

NSData*jsonData = [strdataUsingEncoding:NSUTF8StringEncoding];

NSError*err;

NSDictionary*dict = [NSJSONSerializationJSONObjectWithData:jsonData

options:NSJSONReadingMutableContainers

error:&err];

NSMutableString*prepayId = [dictobjectForKey:@"prepayid"];

if(prepayId){

NSMutableString*stamp  = [dictobjectForKey:@"timestamp"];

//调起微信支付

PayReq* req             = [[PayReqalloc]init];

req.openID=[dictobjectForKey:@"appid"];

req.partnerId= [dictobjectForKey:@"partnerid"];

req.prepayId= [dictobjectForKey:@"prepayid"];

req.nonceStr= [dictobjectForKey:@"noncestr"];

req.timeStamp= stamp.intValue;

req.package=@"Sign=WXPay";

req.sign= [dictobjectForKey:@"sign"];

BOOLret =   [WXApisendReq:req];

if(ret ==NO)

{

[selfshowDissmissSelfAlertViewTitle:@""message:@"支付失败，请重新尝试。"complete:^{

}];

}

}

}

}];

以下项目开发环境以Xcode10.0，运行环境为IOS7.0为例，说明其开发中需要的操作。

1、项目设置APPID

商户在微信开放平台申请开发APP应用后，微信开放平台会生成APP的唯一标识APPID。在Xcode中打开项目，设置项目属性中的URL Schemes为您的APPID。如图8.7标红位置所示。

图8.7

2、注册APPID

商户APP工程中引入微信lib库和头文件，调用API前，需要先向微信注册您的APPID，代码如下：

[WXApi registerApp：@"wxd930ea5d5a258f4f" withDescription：@"demo 2.0"];

3、调起支付

商户服务器生成支付订单，先调用【统一下单API】生成预付单，获取到prepay_id后将参数再次签名传输给APP发起支付。以下是调起微信支付的关键代码：

PayReq *request = [[[PayReq alloc] init] autorelease];

request.partnerId = @"10000100";

request.prepayId= @"1101000000140415649af9fc314aa427";

request.package = @"Sign=WXPay";

request.nonceStr= @"a462b76e7436e98e0ed6e13c64b4fd1c";

request.timeStamp= @"1397527777";

request.sign= @"582282D72DD2B03AD892830965F428CB16E7A256";

[WXApi sendReq：request];

注意：该sign生成字段名列表见调起支付API

4、支付结果回调

照微信SDK Sample，在类实现onResp函数，支付完成后，微信APP会返回到商户APP并回调onResp函数，开发者需要在该函数中接收通知，判断返回错误码，如果支付成功则去后台查询支付结果再展示用户实际支付结果。注意 一定不能以客户端返回作为用户支付的结果，应以服务器端的接收的支付通知或查询API返回的结果为准。代码示例如下：

-(void)onResp：(BaseResp*)resp{

if ([respisKindOfClass：[PayRespclass]]){

PayResp*response=(PayResp*)resp;

switch(response.errCode){

caseWXSuccess：

//服务器端查询支付通知或查询API返回的结果再提示成功

NSlog(@"支付成功");

break;

default：

NSlog(@"支付失败，retcode=%d",resp.errCode);

break;

}

}

}

回调中errCode值列表：

名称描述解决方案

0成功展示成功页面

-1错误可能的原因：签名错误、未注册APPID、项目设置APPID不正确、注册的APPID与设置的不匹配、其他异常等。

-2用户取消无需处理。发生场景：用户不支付了，点击取消，返回APP。