支付回调需严谨处理:先读取原始数据,解析为数组;再验证签名合法性,防止伪造请求;确认订单未处理且金额一致后更新状态;最后返回success避免重试。核心流程为接收数据→验证签名→校验订单→更新状态→响应结果。
在开发支付功能时,支付回调接口是确保订单状态准确更新的关键环节。当用户完成支付后,第三方支付平台(如微信支付、支付宝)会主动向你的服务器发送一条通知数据,这就是“回调”。你需要用PHP接收并处理这些数据,同时验证签名以确保请求来自合法渠道。
接收回调数据并解析
支付平台通常使用POST方式发送原始数据流(raw POST data),而不是标准的表单格式。因此不能直接使用$_POST获取,必须通过输入流读取。
示例代码:
$data = file_get_contents('php://input');
if (empty($data)) {
echo 'fail'; // 通知平台接收失败
exit;
}
// 将XML或JSON格式的数据转为数组
// 微信支付返回的是XML
$xml = simplexml_load_string($data, 'SimpleXMLElement', LIBXML_NOCDATA);
$dataArr = json_decode(json_encode($xml), true);
如果是支付宝等返回JSON,则可直接json_decode($data, true)。
立即学习“PHP免费学习笔记(深入)”;
验证签名防止伪造请求
所有回调都必须验证签名,避免恶意伪造请求篡改订单状态。
以微信支付为例:将接收到的参数按字段名升序排序,拼接成“key=value”的字符串,加上商户密钥(key),再进行MD5加密,与sign字段比对。
function generateSign($data, $apiKey) {
ksort($data);
$stringA = '';
foreach ($data as $k => $v) {
if ($k !== 'sign' && $v !== '' && !is_array($v)) {
$stringA .= $k . '=' . $v . '&';
}
}
$stringSignTemp = $stringA . 'key=' . $apiKey;
return strtoupper(md5($stringSignTemp));
}
// 使用示例
$localSign = generateSign($dataArr, 'your_api_key_here');
if ($localSign !== $dataArr['sign']) {
echo 'fail';
exit; // 签名不匹配,拒绝处理
}
注意:不同平台签名规则不同,支付宝可能使用RSA,需用公钥验签。
支付宝验签示例:
$pubKey = file_get_contents('alipay_public_key.pem');
$res = openssl_get_publickey($pubKey);
$result = openssl_verify(
$data, // 原始数据(除去sign_type和sign)
base64_decode($_POST['sign']),
$res,
OPENSSL_ALGO_SHA256
);
if ($result !== 1) {
echo 'fail';
exit;
}
处理业务逻辑并返回响应
只有签名验证通过后,才可执行订单状态更新等操作。
关键点:
- 检查订单是否已处理过,防止重复回调导致重复发货
- 确认支付金额与本地订单一致
- 更新数据库订单状态为“已支付”
- 触发后续动作,如发送邮件、增加库存等
$orderNo = $dataArr['out_trade_no']; $amount = $dataArr['total_fee'] / 100; // 微信金额单位为分// 查询本地订单 $stmt = $pdo->prepare("SELECT * FROM orders WHERE order_no = ? LIMIT 1"); $stmt->execute([$orderNo]); $order = $stmt->fetch();
if (!$order || $order['status'] == 'paid') { echo 'success'; // 已处理,告知平台无需重试 exit; }
if (abs($order['amount'] - $amount) > 0.01) { error_log("金额不符: {$orderNo}"); echo 'fail'; exit; }
// 更新订单状态 $pdo->prepare("UPDATE orders SET status = 'paid', pay_time = NOW() WHERE order_no = ?") ->execute([$orderNo]);
// 可在此添加发货、通知等逻辑
echo 'success'; // 必须原样返回success,否则平台会重试
基本上就这些。核心是:正确接收数据 → 验证签名 → 安全校验 → 更新订单 → 返回success。只要每一步都严谨处理,就能安全稳定地应对支付回调。
