对接支付宝支付接口需完成参数组装、签名生成、跳转支付、回调处理及验签。首先在支付宝开放平台注册并获取AppID,配置RSA2密钥对,确保PHP启用openssl扩展。支付时组装app_id、method、biz_content等参数,按字典序排序后用私钥SHA256 with RSA签名,构造表单提交至支付宝网关。用户支付后,同步return_url仅作提示,异步notify_url接收服务器通知,需解析POST数据并验签:移除sign和sign_type字段,参数排序拼接后用支付宝公钥验证签名,验证通过后更新订单状态并返回success。关键点包括签名前后参数一致性、验签严格排序、处理重复通知的幂等性,建议记录日志便于调试。
对接支付宝支付接口是 PHP 开发中常见的需求,尤其在电商、订单系统等场景中。实现流程主要包括:参数组装、请求发送、用户支付、服务器回调处理和验签。下面以支付宝的「电脑网站支付」(即 Alipay Trade Page Pay)为例,详细介绍 PHP 如何完成支付参数的组装与回调验签。
1. 注册支付宝开放平台账号:前往 支付宝开放平台 注册开发者账号,创建应用并获取 AppID。
2. 配置密钥:生成 RSA2 密钥对(推荐使用 2048 位),将公钥上传至支付宝后台。私钥由你本地保存,用于签名。
3. 安装必要扩展:确保 PHP 启用了 openssl 扩展,用于签名和验签。
立即学习“PHP免费学习笔记(深入)”;
用户点击“去支付”时,后端需组装请求参数并跳转到支付宝收银台页面。
注意:以下代码为简化示例,实际项目中建议封装成类或使用官方 SDK。1. 组装请求参数
核心参数如下:
2. 签名生成
将所有待签名参数按字典序排序,使用 PKCS1 v1.5 填充方式,通过私钥进行 SHA256 with RSA 签名。
示例代码:
function generateSign($params, $privateKey) {
// 排除空值和 sign 参数
ksort($params);
$stringToBeSigned = "";
foreach ($params as $k => $v) {
if ($k != "sign" && $v !== "" && !is_null($v)) {
$stringToBeSigned .= "$k=$v&";
}
}
$stringToBeSigned = rtrim($stringToBeSigned, "&");
// 载入私钥
$priKey = "-----BEGIN PRIVATE KEY-----\n" . chunk_split($privateKey, 64, "\n") . "-----END PRIVATE KEY-----\n";
$res = openssl_get_privatekey($priKey);
// 签名
openssl_sign($stringToBeSigned, $sign, $res, OPENSSL_ALGO_SHA256);
openssl_free_key($res);
return base64_encode($sign);
}
3. 构造表单并跳转
将参数拼接成 HTML 表单,自动提交到支付宝网关:
$alipayGateway = 'https://openapi.alipay.com/gateway.do';
$params = [
'app_id' => 'your_app_id',
'method' => 'alipay.trade.page.pay',
'charset' => 'UTF-8',
'sign_type' => 'RSA2',
'timestamp' => date('Y-m-d H:i:s'),
'version' => '1.0',
'notify_url' => 'https://yourdomain.com/notify.php',
'return_url' => 'https://yourdomain.com/return.php',
'biz_content' => json_encode([
'out_trade_no' => 'ORDER_20240405001',
'total_amount' => '0.01',
'subject' => '测试商品',
'product_code' => 'FAST_INSTANT_TRADE_PAY'
])
];
// 生成签名
$params['sign'] = generateSign($params, $your_private_key);
// 构造表单
echo '<form id="alipaysubmit" name="alipaysubmit" action="' . $alipayGateway . '" method="POST">';
foreach ($params as $k => $v) {
echo '<input type="hidden" name="' . $k . '" value="' . htmlspecialchars($v) . '" />';
}
echo '<input type="submit" value="前往支付宝支付"></form>';
echo '<script>document.forms["alipaysubmit"].submit();</script>';
1. return_url(同步返回)
用户支付完成后,支付宝会跳转到你指定的 return_url。此处仅作提示,不能用于修改订单状态,因为用户可能关闭页面。
2. notify_url(异步通知)
支付宝服务器会 POST 请求 notify_url,通知支付结果。这是更新订单状态的关键入口。
示例 notify.php:
$rawData = file_get_contents('php://input');
file_put_contents('log.txt', $rawData . "\n", FILE_APPEND); // 记录原始数据
// 将 POST 数据转为数组
parse_str($rawData, $data);
// 验证签名
if (verifySign($data, $alipayPublicKey)) {
if ($data['trade_status'] == 'TRADE_SUCCESS' || $data['trade_status'] == 'TRADE_FINISHED') {
// 更新本地订单状态
updateOrderStatus($data['out_trade_no'], 'paid');
echo 'success'; // 必须原样输出 success
} else {
echo 'fail';
}
} else {
echo 'fail'; // 签名验证失败
}
防止伪造通知,必须对支付宝返回的数据进行验签。
验签函数示例:
function verifySign($data, $publicKey) {
if (!isset($data['sign'])) {
return false;
}
$sign = $data['sign'];
unset($data['sign'], $data['sign_type']); // 移除签名相关字段
ksort($data);
$stringToBeVerified = "";
foreach ($data as $k => $v) {
if ($v !== "" && !is_null($v)) {
$stringToBeVerified .= "$k=$v&";
}
}
$stringToBeVerified = rtrim($stringToBeVerified, "&");
$pubKey = "-----BEGIN PUBLIC KEY-----\n" . chunk_split($publicKey, 64, "\n") . "-----END PUBLIC KEY-----\n";
$res = openssl_get_publickey($pubKey);
$result = openssl_verify($stringToBeVerified, base64_decode($sign), $res, OPENSSL_ALGO_SHA256);
openssl_free_key($res);
return $result === 1;
}
重要提醒:
基本上就这些。只要密钥配置正确、签名逻辑无误、验签严格,支付宝支付对接并不复杂,但细节容易出错,建议打印日志辅助调试。
以上就是php如何对接支付宝支付接口_php支付宝支付参数组装与回调验签的详细内容,更多请关注php中文网其它相关文章!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
989
收藏
