登录
首页 >  文章 >  php教程

PHP对接支付宝支付接口指南

时间:2026-04-04 19:30:15 501浏览 收藏

本文详细讲解了PHP对接支付宝电脑网站支付接口的完整流程,涵盖从开放平台注册、RSA2密钥配置、PHP环境准备,到支付参数组装、SHA256 with RSA签名生成、自动表单跳转,再到关键的异步通知接收与严格验签(包括字段剔除、字典序排序、公钥验证),以及幂等性处理和日志调试等实战要点,为电商、订单系统等场景下的安全稳定支付集成提供了清晰、可靠且可落地的技术指南。

php如何对接支付宝支付接口_php支付宝支付参数组装与回调验签

对接支付宝支付接口是 PHP 开发中常见的需求,尤其在电商、订单系统等场景中。实现流程主要包括:参数组装、请求发送、用户支付、服务器回调处理和验签。下面以支付宝的「电脑网站支付」(即 Alipay Trade Page Pay)为例,详细介绍 PHP 如何完成支付参数的组装与回调验签。

一、准备工作

1. 注册支付宝开放平台账号:前往 支付宝开放平台 注册开发者账号,创建应用并获取 AppID。

2. 配置密钥:生成 RSA2 密钥对(推荐使用 2048 位),将公钥上传至支付宝后台。私钥由你本地保存,用于签名。

3. 安装必要扩展:确保 PHP 启用了 openssl 扩展,用于签名和验签。

二、支付参数组装与跳转

用户点击“去支付”时,后端需组装请求参数并跳转到支付宝收银台页面。

注意:以下代码为简化示例,实际项目中建议封装成类或使用官方 SDK。

1. 组装请求参数

核心参数如下:

  • app_id:你的应用 ID
  • method:调用接口名,如 alipay.trade.page.pay
  • charset:编码格式,通常为 UTF-8
  • sign_type:签名算法,如 RSA2
  • timestamp:当前时间,格式:Y-m-d H:i:s
  • version:API 版本,通常为 1.0
  • notify_url:异步通知地址(服务器回调)
  • return_url:同步返回地址(支付完成后跳转)
  • biz_content:业务参数 JSON 字符串,包含订单号、金额、标题等

2. 签名生成

将所有待签名参数按字典序排序,使用 PKCS1 v1.5 填充方式,通过私钥进行 SHA256 with RSA 签名。

示例代码:

function generateSign($params, $privateKey) {
    // 排除空值和 sign 参数
    ksort($params);
    $stringToBeSigned = "";
    foreach ($params as $k => $v) {
        if ($k != "sign" && $v !== "" && !is_null($v)) {
            $stringToBeSigned .= "$k=$v&";
        }
    }
    $stringToBeSigned = rtrim($stringToBeSigned, "&");

    // 载入私钥
    $priKey = "-----BEGIN PRIVATE KEY-----\n" . chunk_split($privateKey, 64, "\n") . "-----END PRIVATE KEY-----\n";
    $res = openssl_get_privatekey($priKey);

    // 签名
    openssl_sign($stringToBeSigned, $sign, $res, OPENSSL_ALGO_SHA256);
    openssl_free_key($res);

    return base64_encode($sign);
}

3. 构造表单并跳转

将参数拼接成 HTML 表单,自动提交到支付宝网关:

$alipayGateway = 'https://openapi.alipay.com/gateway.do';
$params = [
    'app_id'      => 'your_app_id',
    'method'      => 'alipay.trade.page.pay',
    'charset'     => 'UTF-8',
    'sign_type'   => 'RSA2',
    'timestamp'   => date('Y-m-d H:i:s'),
    'version'     => '1.0',
    'notify_url'  => 'https://yourdomain.com/notify.php',
    'return_url'  => 'https://yourdomain.com/return.php',
    'biz_content' => json_encode([
        'out_trade_no'  => 'ORDER_20240405001',
        'total_amount'  => '0.01',
        'subject'       => '测试商品',
        'product_code'  => 'FAST_INSTANT_TRADE_PAY'
    ])
];

// 生成签名
$params['sign'] = generateSign($params, $your_private_key);

// 构造表单
echo '<form id="alipaysubmit" name="alipaysubmit" action="' . $alipayGateway . '" method="POST">';
foreach ($params as $k => $v) {
    echo '&lt;input type=&quot;hidden&quot; name=&quot;&apos; . $k . &apos;&quot; value=&quot;&apos; . htmlspecialchars($v) . &apos;&quot; /&gt;';
}
echo '&lt;input type=&quot;submit&quot; value=&quot;前往支付宝支付&quot;&gt;</form>';
echo '<script>document.forms["alipaysubmit"].submit();</script>';

三、同步返回与异步通知

1. return_url(同步返回)

用户支付完成后,支付宝会跳转到你指定的 return_url。此处仅作提示,不能用于修改订单状态,因为用户可能关闭页面。

2. notify_url(异步通知)

支付宝服务器会 POST 请求 notify_url,通知支付结果。这是更新订单状态的关键入口。

示例 notify.php:

$rawData = file_get_contents('php://input');
file_put_contents('log.txt', $rawData . "\n", FILE_APPEND); // 记录原始数据

// 将 POST 数据转为数组
parse_str($rawData, $data);

// 验证签名
if (verifySign($data, $alipayPublicKey)) {
    if ($data['trade_status'] == 'TRADE_SUCCESS' || $data['trade_status'] == 'TRADE_FINISHED') {
        // 更新本地订单状态
        updateOrderStatus($data['out_trade_no'], 'paid');
        echo 'success'; // 必须原样输出 success
    } else {
        echo 'fail';
    }
} else {
    echo 'fail'; // 签名验证失败
}

四、回调验签实现

防止伪造通知,必须对支付宝返回的数据进行验签。

验签函数示例:

function verifySign($data, $publicKey) {
    if (!isset($data['sign'])) {
        return false;
    }

    $sign = $data['sign'];
    unset($data['sign'], $data['sign_type']); // 移除签名相关字段

    ksort($data);
    $stringToBeVerified = "";
    foreach ($data as $k => $v) {
        if ($v !== "" && !is_null($v)) {
            $stringToBeVerified .= "$k=$v&";
        }
    }
    $stringToBeVerified = rtrim($stringToBeVerified, "&");

    $pubKey = "-----BEGIN PUBLIC KEY-----\n" . chunk_split($publicKey, 64, "\n") . "-----END PUBLIC KEY-----\n";
    $res = openssl_get_publickey($pubKey);

    $result = openssl_verify($stringToBeVerified, base64_decode($sign), $res, OPENSSL_ALGO_SHA256);
    openssl_free_key($res);

    return $result === 1;
}

重要提醒:

  • 验签前务必去除 sign 和 sign_type 字段
  • 参数需按字典序排序后再拼接
  • 异步通知可能多次发送,需做幂等处理(如判断订单是否已支付)
  • 必须原样返回字符串 success,否则支付宝会重复通知

基本上就这些。只要密钥配置正确、签名逻辑无误、验签严格,支付宝支付对接并不复杂,但细节容易出错,建议打印日志辅助调试。

文中关于php,支付宝支付的知识介绍,希望对你的学习有所帮助!若是受益匪浅,那就动动鼠标收藏这篇《PHP对接支付宝支付接口指南》文章吧,也可关注golang学习网公众号了解相关技术文章。

php 支付宝支付
资料下载
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>