支付模拟函数必须返回明确状态码和error,禁用panic;订单状态更新需原子操作;回调须验签、校验timestamp与nonce防重放;依赖应通过interface隔离便于测试。
支付模拟函数必须返回明确的状态码和错误
Go 里没有异常机制,支付逻辑出错不能 panic 或忽略,必须用 error 显式表达失败原因。比如调用第三方支付网关超时、签名验签失败、金额为负,都该对应不同 error 值,而不是统一返回 nil 或硬编码字符串。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 定义一组支付相关错误变量,如
ErrInvalidAmount、ErrPaymentTimeout,用errors.New或fmt.Errorf构建 - 函数签名应为
func ProcessPayment(orderID string, amount float64) (string, error),其中返回的string是支付流水号(非状态),状态由error携带 - 避免在函数内部直接 log.Fatal 或 os.Exit,这会让调用方无法做重试或降级
订单状态更新必须用原子操作防止并发覆盖
多个 goroutine 同时处理同一订单(如支付回调 + 手动补单 + 超时检查)时,若只靠结构体字段赋值更新 order.Status,极易出现「先查后写」导致状态回滚。Go 没有内置乐观锁,得靠外部机制。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 使用数据库的
UPDATE ... WHERE status = 'pending'语句,返回影响行数判断是否更新成功 - 内存中可用
sync/atomic管理状态整型值(如int32),但仅限单机场景;分布式需依赖 Redis 的SETNX或数据库唯一约束 - 状态迁移应有明确规则,例如不允许从
paid再变回pending,可在更新前加校验:if oldStatus != StatusPending { return ErrStatusTransitionInvalid }
支付回调验签必须校验时间戳和随机串防重放
模拟支付回调接口(如 /webhook/alipay)若只验证签名,攻击者可截获一次合法请求反复重放。真实支付平台都会要求 timestamp 和 nonce 参数,服务端需检查时间窗口(如 15 分钟内)且缓存已用过的 nonce。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 解析请求时强制校验
timestamp字段,用time.Since判断是否超时:if time.Since(ts) > 15*time.Minute { return ErrTimestampExpired } -
nonce存入 Redis 并设 TTL(略长于时间窗口),使用SET key value EX 900 NX原子写入,失败即拒绝请求 - 签名计算必须包含所有参与验签的字段(含
timestamp、nonce、order_id、amount),顺序固定,空值也要参与
测试支付流程要用 interface 隔离外部依赖
支付模拟常涉及 HTTP 调用、DB 查询、Redis 操作,单元测试时若不隔离,会变集成测试,慢且不稳定。Go 的接口即契约,应把依赖抽象成 interface,测试时用 struct 实现 mock。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 定义
type PaymentGateway interface { Charge(orderID string, amount float64) (string, error) },生产用 HTTP client 实现,测试用返回固定txnID的 struct - DB 层不要直接用
*sql.DB,封装为type OrderRepo interface { UpdateStatus(orderID string, status string) error } - 测试时传入 mock 对象,例如:
mockRepo := &MockOrderRepo{Updated: make(map[string]string)}
err := ProcessPaymentWithRepo("ORD-001", 99.9, mockRepo, mockGateway)
