核心是安全接入支付SDK与异步通知防重放、验签、幂等;须用官方SDK并匹配PHP版本,Laravel应拆分Service+Job,ThinkPHP6宜在中间件用getRawBody验签,本地调试需内网穿透且禁用HTTPS强制跳转。
PHP 主流架构(如 Laravel、ThinkPHP、CodeIgniter)集成第三方支付,核心不是“选哪个框架”,而是「支付 SDK 怎么安全接入」和「异步通知怎么防重放、验签、幂等」。直接上手前,先确认你用的是官方 SDK 还是社区封装包——后者多数已过期或签名逻辑有坑。
确认支付平台官方 SDK 是否支持你的 PHP 版本
微信支付 v3 API 要求 PHP ≥ 7.2,且必须启用 openssl、curl、json 扩展;支付宝 SDK(alipay-sdk-php)最新版已弃用 PHP 5.x,且强制要求使用 composer 加载。若你还在用 ThinkPHP 3.2 或自研 MVC,别硬套官方 SDK,优先改用 cURL 手动调 v3 接口。
- 微信支付:认准 GitHub 官方仓库
wechatpay-php(非wechatpay或wechat等同名非官方包) - 支付宝:只用
alipay-sdk-php,注意区分alipay-easysdk(新 SDK,需 PHP ≥ 7.4) - 银联云闪付:必须用
unionpay-sdk-php,不支持 composer install,得手动引入lib/下的类
Laravel 中避免在 Controller 写支付逻辑
常见错误是把 WxPayService 初始化、统一下单、回调验签全塞进 PayController@handle。这会导致测试难、无法复用、事务难控制。正确做法是拆成 Service + Job:
app/Services/WxPayService.php
class WxPayService
{
public function createOrder($orderData) { /* 调用 v3 下单接口 */ }
public function verifyNotify($rawBody, $signature, $timestamp, $nonce) { /* 验证平台签名 */ }
}
app/Jobs/HandleWxPayNotifyJob.php
class HandleWxPayNotifyJob implements ShouldQueue
{
public function handle() {
// 更新订单状态、发消息、扣库存 —— 全部在这里做,且加 DB transaction
}
}
关键点:verifyNotify 必须校验 WECHATPAY-TIMESTAMP、WECHATPAY-NONCE、WECHATPAY-SIGNATURE 三者,并拒绝超过 5 分钟的请求;HandleWxPayNotifyJob 必须设置 uniqueId 防止重复消费。
立即学习“PHP免费学习笔记(深入)”;
ThinkPHP 6 的中间件里做支付回调验签最稳妥
TP6 的 middleware 可以拦截原始请求体($request->getRawBody()),而控制器默认只解析 JSON/FORM,会破坏微信回调的原始 XML 或 JSON 结构。验签失败八成是因为你用了 $request->post() 或 $request->param()。
- 微信回调必须用
$request->getRawBody()获取原始字符串 - 支付宝回调可用
$request->param(),但必须手动调用AlipayAopClient::rsaCheckV1(),不能只比对sign字段 - 银联回调必须用
$_POST+$_GET合并后排序再验签,且要过滤空值和sign字段本身
别信网上“一行代码验签”的 TP 插件,它们多数没处理 notify_id 重放或未校验证书指纹。
本地调试支付回调必须用内网穿透,且关掉 HTTPS 强制跳转
微信/支付宝回调地址必须是公网 HTTPS,但开发时不可能配正式域名和证书。用 ngrok http 8000 或 cpolar 暴露本地端口,然后在支付平台后台填 https://xxx.cpolar.io/pay/wx/notify。同时确保你的 Nginx/Apache 不自动 301 跳转 HTTPS——否则回调请求会被中断,日志里只看到 Connection refused 或空响应。
更隐蔽的问题:Laravel 的 AppServiceProvider 里如果写了 URL::forceScheme('https'),会导致生成的支付参数里的 notify_url 错误变成 https://localhost:8000/...,平台根本没法回调。这种错不会报异常,只会静默失败。
