1. 环境准备与架构设计
本节聚焦环境、依赖与架构设计,帮助你在 PHP 项目中搭建一个稳定的支付接入入口,便于后续扩展到支付宝和微信支付等渠道。
推荐使用的运行环境包括 PHP 7.4 及以上、Composer 依赖管理、cURL、openssl 等扩展,确保与两大支付网关的加密通信兼容。
核心架构要点是将支付接口抽象成独立模块,统一处理下单、查询、回调和异常重试,从而实现对接入多渠道时的可维护性与幂等性。
2. 接入支付宝支付的步骤与代码示例
2.1 获取并集成支付宝官方SDK
通过 Composer 安装官方 SDK,确保版本与所用 PHP 版本兼容;执行命令:composer require alipay/sdk。
在商户后台获取关键信息,包括 APP_ID、应用私钥、支付宝公钥,并把私钥公钥以安全方式存储在服务器端,避免暴露。
gatewayUrl = 'https://openapi.alipaydev.com/gateway.do';
$client->appId = 'your_app_id';
$client->rsaPrivateKey = file_get_contents('/path/to/your_private_key.pem');
$client->alipayrsaPublicKey = file_get_contents('/path/to/alipay_public_key.pem');
$client->signType = 'RSA2';
?>关键点是确保私钥和公钥的读取路径、权限控制以及签名算法的一致性,以便后续请求能够正确被支付宝平台校验。
2.2 发起统一下单请求
构造商户端下单信息并发送请求,要包含交易号、金额、商品描述等字段,以及签名参数以确保请求完整性。
示例代码片段展示如何准备业务参数并调用支付宝的统一下单接口;在实际部署中,请将参数带入到真实环境的业务逻辑中。
'商品名称','out_trade_no' => 'ORDER_'.time(),'total_amount' => '0.01','product_code' => 'FAST_INSTANT_TRADE_PAY',
]);
$req = new \Alipay\AopSdk\AopRequest();
$req->setBizContent($bizContent);
$result = $client->sdkExecute($req);
echo $result;
?>返回结果处理通常包含前端跳转的支付页面地址或二维码地址,需将结果安全回传给前端并完成日志记录。
3. 接入微信支付的步骤与代码示例
3.1 获取并集成微信官方SDK
通过 Composer 集成微信支付库,常见选择是 yansongda/pay,命令示例:composer require "yansongda/pay"。
配置项需包含:app_id、mch_id、key、notify_url,以及用于沙箱或生产的环境切换设置,确保支付回调能正确接收。
'wx_app_id','mch_id' => 'your_mch_id','key' => 'your_api_key','notify_url' => 'https://your.domain/notify/wechat.php','sandbox' => false,
];
$pay = new \Yansongda\Pay\\Pay($config);
?>幂等性与安全性在任何支付接入中都非常关键,务必对下单号进行幂等控制,防止重复发起相同交易。
3.2 发起统一下单并获取支付信息
发起微信统一下单通常返回一个用于生成支付二维码或调用前端支付 API 的参数集,确保前后端参数对齐。
示例代码演示如何调用微信统一下单接口并获取需要的支付信息,随后将结果返回给前端用于展示二维码或唤起支付。
wechat->order->unified(['body' => '商品名称','out_trade_no' => 'ORDER_'.time(),'total_fee' => 1, // 单位为分'spbill_create_ip' => $_SERVER['REMOTE_ADDR'],'notify_url' => $config['notify_url'],'trade_type' => 'NATIVE',
]);
$codeUrl = $result['code_url'] ?? '';
echo $codeUrl;
?>后续动作包括前端通过二维码展示和用户扫描支付,以及服务器端对回调的统一处理与幂等性控制。
4. 回调处理、签名与安全
4.1 回调签名校验
回调通知是支付成功的关键信道,必须对收到的参数进行签名校验以防篡改;对于支付宝和微信,通常都提供官方 SDK 的校验方法或示例。
统一回调的处理流程包括:校验来源、校验签名、执行业务幂等判定、记录日志与返回成功响应。
verifyNotify($data); // 使用 SDK 提供的校验方法
if ($valid) {// 处理订单状态、更新数据库、记录日志http_response_code(200);echo 'success';
} else {// 日志记录异常并返回失败http_response_code(400);echo 'failure';
}
?>4.2 异常处理与日志
健壮的异常处理应覆盖网络超时、签名错误、参数缺失等场景,并通过日志系统保留关键链路信息以便排错。
日志策略需要包括原始回调内容、处理结果、错误码以及商户订单号等,以便对账和追溯。
