PHP支付寶支付開發流程

chajinglong發表於2017-02-15
PHP
支付寶開發流程

1、首先我們先談談第三方支付
所謂第三方支付就是和一些各大銀行簽約,並具備一定實力和信譽保障的第三方獨立機構提供的交易平臺
目前市面上常見的有支付寶,財付通,網銀,易寶支付等,網站需要實現第三方支付首先應向第三方申請一個賬號並簽署協議,協議生效後第三方支付平臺為其開通線上支付功能。
2、第三方支付的原理

2.1使用者向商城網站發起確認訂單的請求

  2.2商城網站接收到請求儲存訂單資料到資料庫或其他儲存介質

  2.3返回訂單確認頁面,頁面上應該顯示訂單金額等資訊

  2.4使用者確認支付,發起支付請求。注:支付請求是傳送到支付閘道器(比如支付寶、網銀線上)而不是傳送到商城網站。

  2.5顯示支付頁面

  2.6使用者填寫認證資訊(賬號密碼等)提交

  2.7這裡有兩個步驟一個是扣款成功後頁面跳轉到支付結果頁面(展示給使用者),另一個是支付通知,這兩步沒有先後順序可能同時執行,商城網站接收到支付通知後根據驗證規則驗證資訊的有效性,並作出相應的更改操作(例:有效則更改訂單為已付款狀態,無效則記錄非法請求資訊)。

  以支付寶為例:如果實現在網站中整合支付寶介面,首先要有一個支付寶賬號,接下來向支付寶申請線上支付業務,簽署協議。協議生效後有支付寶一方會給網站方一個合作伙伴ID,和安全校驗碼,有了這兩樣東西就可以按照支付寶介面文件開發支付寶介面了,在上圖的幾個步驟中只有4和7兩個步驟在商城與支付閘道器之間有資訊互動。在步驟4中指將資料傳送到支付閘道器(支付寶),在步驟7中是的通知驗證部分,驗證閘道器請求網站某地址,網站按驗證規則對資訊進行驗證記錄並作出響應,我們幾乎在開發任何支付介面時,重點是這兩部分的開發,明白支付介面原理,開發支付介面就不難了。

其實看圖來說,我們所做的很有限,基本在1~3之間,生成訂單資料,然後會通過支付寶內部進行認證(當然其中省略了一些購物車、訂單的步驟),基本一個流程結束。
3、支付寶介面開發
3.1介面簡介與測試
就目前來講,支付寶提供了擔保交易,標準即時到賬,雙功能等幾種介面,只是在功能上有些差異,整合方式都是一樣,以標準及時到賬介面為例,在與支付寶簽署協議後,還需要幾個步驟才能完成整合。

選擇“我要自助整合”接下來會看到的連結,點選下載技術文件。

  在下載後的檔案中有標準支付寶交易服務介面、商家工具、介面整合指南等接文件,另外還有幾種語言寫的demo.我們可以根據介面文件按規則全新開發,也可以再demo基礎上修改整合到網站,需要注意的是開發支付介面需要在公網(伺服器必須可以通過外網訪問)才可以完成整個除錯過程,如果伺服器在外網訪問不到,則無法接收到支付通知。


demo中每個檔案的作用


create_direct_pay_by_user-php-UTF-8
  │
  ├lib┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈類資料夾
  │  │
  │  ├alipay_core.function.php ┈┈┈┈┈┈支付寶介面公用函式檔案
  │  │
  │  ├alipay_notify.class.php┈┈┈┈┈┈┈支付寶通知處理類檔案
  │  │
  │  ├alipay_submit.class.php┈┈┈┈┈┈┈支付寶各介面請求提交類檔案
  │  │
  │  └alipay_md5.function.php┈┈┈┈┈┈┈支付寶介面MD5函式檔案
  │
  ├log.txt┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈日誌檔案
  │
  ├alipay.config.php┈┈┈┈┈┈┈┈┈┈┈┈基礎配置類檔案
  │
  ├alipayapi.php┈┈┈┈┈┈┈┈┈┈┈┈┈┈支付寶介面入口檔案
  │
  ├notify_url.php ┈┈┈┈┈┈┈┈┈┈┈┈┈伺服器非同步通知頁面檔案
  │
  ├return_url.php ┈┈┈┈┈┈┈┈┈┈┈┈┈頁面跳轉同步通知檔案
  │
  ├cacert.pem ┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈用於CURL中校驗SSL的CA證照檔案
  │
  └readme.txt ┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈使用說明文字

這裡已經下載好了(見資源目錄pay資料夾),為了便於除錯增加修改了若干檔案,並增加了一張資料表儲存訂單資訊,我們修改一下配置檔案完成一個測試過程。

  alipay_config.php是基礎資訊配置檔案,我們需要將在支付寶後臺獲取的PID與Key寫入到配置檔案中。


  配置項:


 其中方框內的資料是我們需要重點修改的。支付通知地址與返回地址的區別,前面已經提到,在步驟7中有兩項:支付結果頁面與支付通知資訊,支付結果頁面是使用者支付完成後會自動跳轉到這個地址這裡是返回地址($return_url)。



 $host = $_SERVER['HTTP_HOST'];
//↓↓↓↓↓↓↓↓↓↓請在這裡配置您的基本資訊↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
//合作身份者ID,簽約賬號,以2088開頭由16位純數字組成的字串,檢視地址:https://b.alipay.com/order/pidAndKey.htm
$alipay_config['partner'] = '****************';


//收款支付寶賬號,以2088開頭由16位純數字組成的字串,一般情況下收款賬號就是簽約賬號
$alipay_config['seller_id'] = $alipay_config['partner'];


// MD5金鑰,安全檢驗碼,由數字和字母組成的32位字串,檢視地址:https://b.alipay.com/order/pidAndKey.htm
$alipay_config['key'] = '****************************';


// 伺服器非同步通知頁面路徑  需http://格式的完整路徑,不能加?id=123這類自定義引數,必須外網可以正常訪問
$alipay_config['notify_url'] = "http://".$host."/paycallback/notify";


// 頁面跳轉同步通知頁面路徑 需http://格式的完整路徑,不能加?id=123這類自定義引數,必須外網可以正常訪問
$alipay_config['return_url'] = "http://".$host."/paycallback/return";

// 客戶端的IP地址 非區域網的外網IP地址,如:221.0.0.1
$alipay_config['exter_invoke_ip'] = "182.92.27.46";



 支付通知地址同樣是使用者支付完成後,支付寶會請求該地址($notify_url),但是支付通知是支付寶伺服器直接請求,不會被使用者看到。這兩個地址必須是以http開頭的完整路徑格式為了完成測試過程,這裡已經將/pay/alipay/notify_url.php改寫,將$notify_url設定為可訪問到此檔案的URL即可。這幾項配置好後再根據資料庫指令碼(pay/orders.sql)建立一張資料表。並根據資料庫的配置資訊修改mysql_config.php.通過對支付寶提供的demo做簡單修改就可以完成建立支付請求(步驟4)了,這裡更改了支付首頁等頁面(見原始碼包pay目錄)。我們先測試一下:




 資料庫中增加了一條“訂單資訊”.

  如果點選“確認支付”按鈕或者確認支付 連結將會跳轉到支付寶頁面,點選按鈕時通過表單POST方式將資訊提交到支付閘道器,由於支付請求資料無需讓使用者看到,這裡都寫在隱藏域中了。確認支付 連結是通過URL傳參,因為支付寶介面允許以POST或者GET方式提交,所以兩種方式都可以。把引數提交給支付閘道器後,頁面跳轉到到支付頁面。我們看到如下圖所示:



 我們看到支付寶為我們提供了兩種支付方式,一種是通過支付寶賬戶支付,另一種是通過銀行卡支付。例如選擇使用銀行卡支付,填寫郵箱或手機號跳轉到如下頁面:



 我們開單支付寶幾乎支援所有的銀行卡支付,同時有信用卡和網點方式付款,選擇對應的銀行下一步按提示付款即可。付款完成後頁面會返回到我們在配置檔案中配置的$return_url地址,同時“訂單狀態”也會發生改變。



注:測試時如果沒有在外網測試(即支付通知地址無法在外網訪問)則支付通知無法被請求到,無法自動完成訂單狀態的修改。

  3.2支付寶介面規範與程式碼分析

  支付寶介面規範可參考/pay/doc/標準支付寶交易服務介面(專用於防釣魚網站)。Pdf,裡面已經有了比較詳細的說明。

  3.2.1如何建立支付請求

  在前面的測試中我們點選了“確認支付”將資訊將資訊提交到了支付寶的支付閘道器,我們可以思考一下應該傳送哪些引數給支付閘道器。關於請求引數列表可以參考標準支付寶交易服務介面(專用於防釣魚網站)。Pdf中的3.2.2.需要注意的是並不是我們把這些引數原封不動的提交到支付寶就可以了,為了保證資料安全支付寶目前使用的是MD5簽名防止資料篡改機制。

  在提交資料前需要將需要提交的資料以一定規則(見介面文件)組裝成字串,加上安全校驗碼(Key)組成一個新字串,通過MD5生成一個32位元組的簽名,我們提交支付請求時還需要把這個簽名也提交過去。看一下表單原始碼


 支付寶接收到引數後會進行驗證請求引數的合法性,驗證無誤後將顯示支付頁面,否則提示錯誤。

  3.2.2 如何驗證支付通知

  在使用者支付完成後,支付寶會請求網站支付通知地址(這個地址應在建立支付請求時作為引數傳遞過去)。返回引數列表參見標準支付寶交易服務介面(專用於防釣魚網站)。Pdf3.3.1.支付寶的返回資料中同樣有一個簽名串(採取和支付請求同樣的簽名方式),在支付通知檔案中首先要對資料進行簽名驗證。除了驗證簽名,還需要將引數中的notify_id提交到支付寶的驗證閘道器支付寶系統這個通知的真實性,通知驗證。支付寶系統判斷通知是否是自己傳送,如果是以字串格式返回 true,否則返回false,我們通過驗證伺服器返回的資料驗證請求的真實性,如果都驗證通過則可以進行更改訂單資料、給使用者傳送郵件通知等操作。關於驗證簽名可以看一下通知檔案中的原始碼。帶demo中將引數中的notify_id提交到支付寶是通過POST方式提交併取得返回資料,程式碼片段:


重點就是fsockopen函式,在傳送電子郵件時我們已經接觸過,通過此函式開啟套接字連線,類似於以前學過的fopen函式返回的是一個檔案控制程式碼,之後可以使用檔案函式( fgets()、fgetss()、fputs()、fclose() feof()等)對其進行操作,程式碼中使用了fputs()(同fwrite())函式,寫入資料來模擬表單以POST方式提交資料,最後通過fgets()函式獲取返回的資料儲存到陣列中,最後進行驗證,具體參照原始碼。



相關文章