本文指导开发者如何从不安全的get请求paypal支付方式迁移至推荐的服务器端post方法。通过paypal标准支付流程,利用create order和capture order api实现安全的交易创建与捕获,并结合前端审批流,确保支付数据的完整性和安全性,同时提供必要的php sdk使用和业务逻辑处理建议。
在构建电子商务支付系统时,安全性是首要考量。最初的PayPal支付集成方法,如通过URL参数构建GET请求跳转到PayPal,虽然实现简单,但存在严重的安全漏洞。这种方式将所有交易数据(如商品名称、金额、数量、接收方邮箱等)暴露在URL中,极易被恶意用户通过代理或直接修改URL参数进行篡改,从而导致支付金额错误、商品信息不符甚至将款项发送到错误的账户。为了防范此类风险,并确保交易数据的完整性和安全性,采用PayPal推荐的服务器端POST请求方式进行支付集成至关重要。
PayPal推荐的“标准支付”或“智能支付按钮”集成方式,核心思想是将交易的创建和捕获逻辑从客户端完全转移到服务器端。前端页面仅负责渲染支付按钮和处理用户交互,而实际的支付API调用则在服务器端完成。这种分离架构有效保护了敏感数据,并确保了业务逻辑的可靠执行。
该流程主要包括两个关键的服务器端API调用:创建订单 (Create Order) 和 捕获订单 (Capture Order),并辅以前端JavaScript SDK进行用户交互。
为了实现安全的PayPal支付,您的服务器需要提供两个API端点,分别用于处理订单的创建和捕获。强烈建议使用PayPal官方提供的Checkout-PHP-SDK(而非手动构建cURL请求或使用已废弃的SDK),以简化开发并确保与PayPal API的兼容性。
立即学习“PHP免费学习笔记(深入)”;
作用: 当用户在您的网站上点击支付按钮时,前端会向您的服务器发送请求。您的服务器收到请求后,将调用PayPal的“创建订单”API,在PayPal系统预先生成一笔订单,并返回一个唯一的订单ID。此时,资金尚未从买家账户扣除。
实现方式: 在您的PHP后端创建一个API路由(例如 /api/paypal/create-order)。该路由应接收来自前端的商品信息、金额等数据,然后使用Checkout-PHP-SDK调用PayPal的 /v2/checkout/orders API来创建订单。
关键点:
示例代码(PHP,概念性使用SDK):
<?php
// 假设您已通过Composer安装并配置了PayPal Checkout-PHP-SDK
// use PayPalCheckoutSdk\Core\PayPalHttpClient;
// use PayPalCheckoutSdk\Core\SandboxEnvironment; // 或 LiveEnvironment
// use PayPalCheckoutSdk\Orders\OrdersCreateRequest;
class PayPalService
{
private $client;
public function __construct()
{
// 实际应用中,这里应初始化PayPal HTTP客户端,
// 包括您的Client ID和Client Secret,并选择沙盒或生产环境。
// 例如:
// $environment = new SandboxEnvironment(getenv('PAYPAL_CLIENT_ID'), getenv('PAYPAL_CLIENT_SECRET'));
// $this->client = new PayPalHttpClient($environment);
}
public function createOrder(array $items, string $returnUrl, string $cancelUrl): string
{
$purchaseUnits = [];
$totalAmount = 0;
foreach ($items as $item) {
$itemTotal = $item['amount'] * $item['quantity'];
$totalAmount += $itemTotal;
$purchaseUnits[] = [
'reference_id' => 'PU-' . uniqid(), // 唯一的采购单元参考ID
'amount' => [
'currency_code' => 'USD', // 或动态货币
'value' => (string) $itemTotal,
],
'items' => [[
'name' => $item['name'],
'unit_amount' => ['currency_code' => 'USD', 'value' => (string) $item['amount']],
'quantity' => (string) $item['quantity'],
]],
];
}
$orderRequest = [
'intent' => 'CAPTURE', // 意图为捕获资金
'purchase_units' => $purchaseUnits,
'application_context' => [
'return_url' => $returnUrl,
'cancel_url' => $cancelUrl,
'brand_name' => '您的商店名称',
'shipping_preference' => 'NO_SHIPPING', // 根据需要调整
'user_action' => 'PAY_NOW', // 用户行为:立即支付
'locale' => 'zh-CN', // 本地化设置
]
];
// 实际SDK调用示例 (OrdersCreateRequest 是 PayPal Checkout SDK 的一部分)
// $request = new OrdersCreateRequest();
// $request->prefer('return=representation');
// $request->body = $orderRequest;
// try {
// $response = $this->client->execute($request);
// return $response->result->id; // 返回PayPal生成的订单ID
// } catch (Exception $e) {
// // 错误处理
// error_log("PayPal Create Order Error: " . $e->getMessage());
// throw new Exception("Failed to create PayPal order.");
// }
// 模拟返回订单ID
return 'ORDER-ID-' . uniqid();
}
}
// 在您的控制器或路由中:
// header('Content-Type: application/json');
// $paypalService = new PayPalService();
// try {
// $orderId = $paypalService->createOrder(
// $_POST['items'], // 从前端获取商品数据
// 'https://yourstore.com/checkout/success',
// 'https://yourstore.com/checkout/cancel'
// );
// echo json_encode(['id' => $orderId]);
// } catch (Exception $e) {
// http_response_code(500);
// echo json_encode(['error' => $e->getMessage()]);
// }作用: 在用户在PayPal页面上授权支付后(但资金尚未转移),前端会再次向您的服务器发送请求,携带之前创建的订单ID。您的服务器收到此请求后,将调用PayPal的“捕获订单”API,实际执行资金转移操作,将款项从买家账户转移到卖家账户。
实现方式: 在您的PHP后端创建另一个API路由(例如 /api/paypal/capture-order/{orderId})。该路由接收订单ID,然后使用Checkout-PHP-SDK调用PayPal的 /v2/checkout/orders/{orderId}/capture API来捕获订单。
关键点:
示例代码(PHP,概念性使用SDK):
<?php
// use PayPalCheckoutSdk\Orders\OrdersCaptureRequest;
class PayPalService
{
// ... (构造函数和createOrder方法同上) ...
public function captureOrder(string $orderId): array
{
// 实际SDK调用示例 (OrdersCaptureRequest 是 PayPal Checkout SDK 的一部分)
// $request = new OrdersCaptureRequest($orderId);
// $request->prefer('return=representation');
// try {
// $response = $this->client->execute($request);
// return json_decode(json_encode($response->result), true); // 返回捕获结果数组
// } catch (Exception $e) {
// // 错误处理
// error_log("PayPal Capture Order Error: " . $e->getMessage());
// throw new Exception("Failed to capture PayPal order.");
// }
// 模拟返回捕获结果
return [
'id' => 'CAPTURE-ID-' . uniqid(),
'status' => 'COMPLETED',
'purchase_units' => [
[
'payments' => [
'captures' => [
['id' => 'PAYPAL-TRANSACTION-ID-' . uniqid(), 'status' => 'COMPLETED']
]
]
]
],
// ... 其他捕获详情
];
}
}
// 在您的控制器或路由中:
// header('Content-Type: application/json');
// $paypalService = new PayPalService();
// $orderId = $_POST['orderID'] ?? $_GET['orderID']; // 从前端获取订单ID
// if (!$orderId) {
// http_response_code(400);
// echo json_encode(['error' => 'Order ID is required.']);
// exit;
// }
// try {
// $captureResult = $paypalService->captureOrder($orderId);
// // *** 核心业务逻辑处理 ***
// if ($captureResult['status'] === 'COMPLETED' && isset($captureResult['purchase_units'][0]['payments']['captures'][0]['id'])) {
// $transactionId = $captureResult['purchase_units'][0]['payments']['captures'][0]['id'];
// // 1. 存储交易ID到数据库
// // 例如:$this->orderRepository->updateOrder($orderId, ['status' => 'paid', 'paypal_transaction_id' => $transactionId]);
// // 2. 更新库存
// // 3. 发送确认邮件
// // 4. 其他业务逻辑...
// error_log("Order {$orderId} captured successfully. PayPal Transaction ID: {$transactionId}");
// } else {
// // 处理非COMPLETED状态或捕获失败
// error_log("Order {$orderId} capture status: " . $captureResult['status']);
// // 记录失败信息,可能需要人工介入
// }
// // *** 核心业务逻辑处理结束 ***
// echo json_encode($captureResult);
// } catch (Exception $e) {
// http_response_code(500);
// echo json_encode(['error' => $e->getMessage()]);
// }前端通过PayPal JavaScript SDK渲染支付按钮,并与服务器端的API进行交互,引导用户完成支付流程。
示例代码(HTML/JavaScript):
以上就是PayPal PHP支付集成指南:实现安全可靠的服务器端交易的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
565
收藏
