答案:支付回调验证需接收数据、排序拼接参数生成签名字符串,用密钥通过MD5或RSA算法验签,比对一致后更新订单并返回成功响应。
当用户完成支付后,第三方支付平台(如支付宝、微信支付)会向你的服务器发送一个回调请求,通知订单状态。这个过程必须做签名验证,防止伪造请求造成资金损失。php实现支付回调验证的核心是:接收参数、排序、拼接、生成签名并与回调签名比对。
1. 接收回调数据并解析参数
支付平台通常以POST或GET方式传递参数,部分使用jsON格式。你需要先获取原始数据,保留原始字段用于验签。
// 获取原始POST数据(适用于微信等json格式) $rawData = file_get_contents(‘php://input’); $callbackData = json_decode($rawData, true);
// 或者使用 $_POST(适用于支付宝表单提交) $callbackData = $_POST;
注意:不要对参数进行urldecode或修改顺序,原始数据用于后续签名计算。
2. 提取待签名字符串(关键步骤)
第三方支付要求将除签名外的所有参数按字段名升序排列,拼接成“key=value”形式的字符串。不同平台规则略有差异。
立即学习“PHP免费学习笔记(深入)”;
function getSignString($params) { // 移除签名字段 unset($params[‘sign’]);
// 按字段名升序排序 ksort($params); $pairs = []; foreach ($params as $k => $v) { if ($v !== '' && !is_null($v)) { // 过滤空值(根据平台要求调整) $pairs[] = $k . '=' . $v; } } return implode('&', $pairs);
}
例如,支付宝和微信都基于此逻辑生成待签字符串,但微信可能要求不包含空参数,支付宝有时要求编码。
3. 使用密钥生成签名并对比
根据支付平台使用的签名算法(如MD5、RSA),用商户密钥重新生成签名,与回调中的sign字段对比。
MD5签名示例(如早期支付宝): $signString = getSignString($callbackData); $localSign = md5($signString . ‘&key=’ . ‘YOUR_MD5_KEY’); // 拼接商户密钥 if ($localSign === $callbackData[‘sign’]) { echo ‘验证通过’; } else { http_response_code(400); exit(‘签名错误’); }
RSA签名示例(如微信支付v3或支付宝新版): $publicKey = file_get_contents(‘apiclient_cert.pem’); // 支付宝公钥或微信平台公钥 $signature = base64_decode($callbackData[‘sign’]); $result = openssl_verify($signString, $signature, $publicKey, OPENssl_ALgo_SHA256); if ($result === 1) { echo ‘验证通过’; } elseif ($result === 0) { http_response_code(400); exit(‘签名验证失败’); }
4. 处理回调并返回响应
验证通过后,检查订单状态、金额等关键信息,更新本地数据库,并返回平台要求的成功响应,避免重复回调。
// 示例:微信支付要求返回JSON if (/* 验证通过且订单未处理 */) { // 更新订单为已支付 updateOrderStatus($callbackData[‘out_trade_no’], ‘paid’);
// 返回成功响应 header('Content-Type: application/json'); echo json_encode(['code' => 'SUCCESS', 'message' => 'OK']);
}
若验证失败或处理异常,应返回失败状态,平台可能会重试。
基本上就这些。核心是严格按照文档构造签名字符串,使用正确算法和密钥验证。不同平台细节不同,建议封装通用类,适配多种支付方式。安全起见,所有回调请求应记录日志以便排查问题。