首先完成商户注册并获取密钥,接着按支付流程生成订单、调用统一下单接口、处理同步与异步回调;php通过官方SDK实现支付宝H5支付,重点验证异步通知签名并更新订单状态,同时遵循安全规范如密钥隔离、https传输和日志记录。
在php开发中集成第三方支付接口,是电商、在线教育、SaaS平台等系统的核心功能之一。实现支付功能不仅需要理解业务流程,还要掌握安全规范和接口调用方式。下面以常见的支付宝和微信支付为例,介绍如何在PHP项目中实现支付功能。
1. 准备工作:注册商户并获取密钥
要接入第三方支付,第一步是注册对应的支付平台商户账号:
- 支付宝:前往支付宝开放平台注册企业账户,创建应用,获取appID、支付宝公钥、应用私钥和支付宝网关地址。
- 微信支付:注册微信支付商户平台,配置APIv3密钥,下载平台证书,获取商户号(mch_id)、API密钥等信息。
注意:个人开发者账号权限有限,多数正式支付功能需企业资质。
2. 支付流程基本逻辑
无论使用哪个平台,支付流程大致相同:
立即学习“PHP免费学习笔记(深入)”;
- 用户提交订单,后端生成唯一订单号并记录金额、商品信息。
- 调用支付平台的统一下单接口,传入订单数据,获取支付链接或二维码。
- 前端跳转或展示支付页面,用户完成付款。
- 支付平台异步通知(notify_url)服务器支付结果,需验证签名并更新订单状态。
- 前端同步回调(return_url)可跳转至支付成功页,但不能用于状态更新。
3. PHP实现示例:支付宝H5支付
以支付宝网页支付为例,使用官方SDK更稳定:
// 引入支付宝SDK(可通过composer安装) require_once 'vendor/autoload.php'; use AlipayEasySDKKernelConfig; use AlipayEasySDKKernelFactory; $config = new Config(); $config->protocol = 'https://'; $config->gatewayHost = 'openapi.alipay.com'; $config->signType = 'RSA2'; $config->appId = 'your_app_id'; $config->merchantPrivateKey = '-----BEGIN PRIVATE KEY-----...'; $config->alipayPublicKey = '-----BEGIN PUBLIC KEY-----...'; Factory::setOptions($config); // 调用支付接口 $response = Factory::payment()->page()->pay( '测试商品', // 商品标题 'ORDER_20240405001', // 商户订单号 '9.90', // 金额 'http://yourdomain.com/return.php', // 同步回调地址 'http://yourdomain.com/notify.php' // 异步通知地址 ); // 输出跳转 echo $response->getBody();
4. 处理异步通知(关键步骤)
支付结果必须通过异步通知确认,不可依赖前端返回。以下是支付宝notify处理示例:
$notify_data = $_POST; // 验证签名 $flag = Factory::payment()->common()->verifyNotify($notify_data); if ($flag && $notify_data['trade_status'] == 'TRADE_SUCCESS') { $out_trade_no = $notify_data['out_trade_no']; // 查询本地订单是否存在且未支付 // 更新订单状态为已支付 file_put_contents('log.txt', "Payment success for order: " . $out_trade_no . "n", FILE_APPEND); echo 'success'; // 必须原样返回'success',否则会重复通知 } else { echo 'fail'; }
注意:通知接口需避免抛出异常,防止重复推送;所有数据库操作建议加锁或幂等处理。
5. 安全与最佳实践
- 敏感信息(如密钥)应存于环境变量或配置文件,不写在代码中。
- 所有通知必须验证签名,防止伪造请求。
- 订单金额需与本地记录比对,防止篡改。
- 使用HTTPS协议,确保传输安全。
- 记录日志便于排查问题,尤其是支付通知和失败情况。
基本上就这些。支付功能看似复杂,核心在于理解流程和做好安全验证。选择成熟的SDK能大幅降低开发难度。调试阶段可使用沙箱环境测试,上线前务必进行完整流程验证。