首先完成微信支付商户账号配置并获取APIv3密钥与证书,接着通过官方SDK或CURL实现PHP对接;然后调用统一下单API生成prepay_id,前端据此拉起支付;支付后通过异步通知和订单查询确认结果,确保交易安全。
如果您在开发微信小程序或公众号支付功能时,需要实现用户通过微信完成付款,但不清楚如何正确调用API并保障交易安全,则可以通过以下步骤完成PHP对接微信支付接口的全流程配置与请求处理。
一、准备微信支付商户账号与证书
在调用微信支付统一下单接口前,必须拥有有效的微信支付商户号,并下载APIv3密钥和平台证书用于签名与加密通信。确保已登录微信支付商户平台完成实名认证并开通JSAPI支付权限。
1、登录微信支付商户平台,进入【账户中心】→【API安全】。
2、申请APIv3密钥,设置一个32位长度的随机字符串作为密钥,保存至安全位置。
立即学习“PHP免费学习笔记(深入)”;
3、下载平台证书,并定期更新以保证接口调用有效性。务必妥善保管私钥文件(apiclient_key.pem)不可泄露。
二、安装官方SDK或使用原生CURL请求
推荐使用微信官方提供的PHP SDK来简化签名生成、加密解密等复杂流程。若选择手动实现,则需自行处理HMAC-SHA256签名及AES-GCM加密逻辑。
1、通过Composer引入微信支付服务端SDK:composer require wechatpay/wechatpay
2、初始化商户配置信息,包括商户ID、商户API证书序列号、私钥路径、APIv3密钥等。
3、创建WeChatPay对象实例,用于后续发起预支付订单与结果通知验证。
三、发起统一下单请求获取prepay_id
调用“统一下单”API向微信服务器提交商品信息、金额、用户openid等参数,成功后将返回包含prepay_id的结果数据,用于前端拉起支付窗口。
1、构造请求参数数组,包含appid、mchid、out_trade_no、total_fee(单位为分)、body、notify_url、trade_type等字段。
2、对请求数据进行SHA256withRSA签名,附加Authorization头部进行身份认证。
3、发送POST请求至 https://api.mch.weixin.qq.com/v3/pay/transactions/jsapi 地址,接收JSON响应。
4、解析返回结果中的prepay_id,格式化为prepay_id=wxXXXXXXXXXXXXXX供前端使用。注意检查返回码是否为SUCCESS避免无效订单。
四、前端调起微信支付窗口
将后端返回的prepay_id及相关签名信息传递给JavaScript环境,在微信内置浏览器中触发WeixinJSBridge.invoke方法启动支付界面。
1、后端再次对prepay_id生成时间戳、随机字符串和package值进行二次签名,算法为RSA-SHA256。
2、向前端返回signType、paySign、timeStamp、nonceStr、package五个关键参数。
3、在JS中调用WeixinJSBridge.invoke('getBrandWCPayRequest', {...})打开支付弹窗。
4、监听支付结果回调,区分ok、cancel、fail三种状态执行后续业务逻辑。
五、处理异步支付结果通知
微信服务器会在用户支付成功后推送加密的通知数据到商户设定的notify_url地址,必须正确解密并回复确认消息,否则会重复推送。
1、启用HTTPS服务并在微信商户平台配置通知地址,确保公网可访问。
2、从请求体读取Wechatpay-Signature、Wechatpay-Nonce、Wechatpay-Timestamp头信息用于验签。
3、使用平台证书验证通知签名真实性,防止伪造请求。
4、利用APIv3密钥对通知正文中的cipher_text进行AES-256-GCM解密,获取订单状态详情。
5、解析出transaction_id、out_trade_no、total_fee等信息后更新本地订单状态,并返回HTTP 200响应。
六、查询订单状态以确认支付结果
当未收到明确通知或前端返回不确定结果时,可通过订单查询接口主动获取微信侧的实际支付状态,确保订单处理一致性。
1、构造查询请求URL,路径为 /v3/pay/transactions/out-trade-no/{out_trade_no},加入mchid等查询参数。
2、生成带签名的Authorization头,使用私钥对请求元数据进行签名。
3、发送GET请求并解析返回JSON中的trade_state字段,如为SUCCESS则视为已支付。
4、同步更新数据库订单状态,记录微信返回的transaction_id用于对账。建议设置查询重试机制避免网络抖动导致漏单。
