Java支付宝APP支付-验证异步通知消息
上一章已经讲述了支付宝如何生成支付订单,这一章讲述一下支付宝生成订单之后,异步通知接口的开发。
这里先讲一下啥叫支付宝异步通知:对于App支付产生的交易,支付宝会根据原始支付API中传入的异步通知地址notify_url,通过POST请求的形式将支付结果作为参数通知到商户系统。
通知参数详细见官方API:https://docs.open.alipay.com/204/105301/
1、异步通知参数说明
异步通知参数
| 参数 |
参数名称 |
类型 |
必填 |
描述 |
范例 |
|---|---|---|---|---|---|
| notify_time |
通知时间 |
Date |
是 |
通知的发送时间。格式为yyyy-MM-dd HH:mm:ss |
2015-14-27 15:45:58 |
| notify_type |
通知类型 |
String(64) |
是 |
通知的类型 |
trade_status_sync |
| notify_id |
通知校验ID |
String(128) |
是 |
通知校验ID |
ac05099524730693a8b330c5ecf72da9786 |
| app_id |
支付宝分配给开发者的应用Id |
String(32) |
是 |
支付宝分配给开发者的应用Id |
2014072300007148 |
| charset |
编码格式 |
String(10) |
是 |
编码格式,如utf-8、gbk、gb2312等 |
utf-8 |
| version |
接口版本 |
String(3) |
是 |
调用的接口版本,固定为:1.0 |
1.0 |
| sign_type |
签名类型 |
String(10) |
是 |
商户生成签名字符串所使用的签名算法类型,目前支持RSA2和RSA,推荐使用RSA2 |
RSA2 |
| sign |
签名 |
String(256) |
是 |
请参考异步返回结果的验签 |
601510b7970e52cc63db0f44997cf70e |
| trade_no |
支付宝交易号 |
String(64) |
是 |
支付宝交易凭证号 |
2013112011001004330000121536 |
| out_trade_no |
商户订单号 |
String(64) |
是 |
原支付请求的商户订单号 |
6823789339978248 |
| out_biz_no |
商户业务号 |
String(64) |
否 |
商户业务ID,主要是退款通知中返回退款申请的流水号 |
HZRF001 |
| buyer_id |
买家支付宝用户号 |
String(16) |
否 |
买家支付宝账号对应的支付宝唯一用户号。以2088开头的纯16位数字 |
2088102122524333 |
| buyer_logon_id |
买家支付宝账号 |
String(100) |
否 |
买家支付宝账号 |
15901825620 |
| seller_id |
卖家支付宝用户号 |
String(30) |
否 |
卖家支付宝用户号 |
2088101106499364 |
| seller_email |
卖家支付宝账号 |
String(100) |
否 |
卖家支付宝账号 |
|
| trade_status |
交易状态 |
String(32) |
否 |
交易目前所处的状态,见交易状态说明 |
TRADE_CLOSED |
| total_amount |
订单金额 |
Number(9,2) |
否 |
本次交易支付的订单金额,单位为人民币(元) |
20 |
| receipt_amount |
实收金额 |
Number(9,2) |
否 |
商家在交易中实际收到的款项,单位为元 |
15 |
| invoice_amount |
开票金额 |
Number(9,2) |
否 |
用户在交易中支付的可开发票的金额 |
10.00 |
| buyer_pay_amount |
付款金额 |
Number(9,2) |
否 |
用户在交易中支付的金额 |
13.88 |
| point_amount |
集分宝金额 |
Number(9,2) |
否 |
使用集分宝支付的金额 |
12.00 |
| refund_fee |
总退款金额 |
Number(9,2) |
否 |
退款通知中,返回总退款金额,单位为元,支持两位小数 |
2.58 |
| subject |
订单标题 |
String(256) |
否 |
商品的标题/交易标题/订单标题/订单关键字等,是请求时对应的参数,原样通知回来 |
当面付交易 |
| body |
商品描述 |
String(400) |
否 |
该订单的备注、描述、明细等。对应请求时的body参数,原样通知回来 |
当面付交易内容 |
| gmt_create |
交易创建时间 |
Date |
否 |
该笔交易创建的时间。格式为yyyy-MM-dd HH:mm:ss |
2015-04-27 15:45:57 |
| gmt_payment |
交易付款时间 |
Date |
否 |
该笔交易的买家付款时间。格式为yyyy-MM-dd HH:mm:ss |
2015-04-27 15:45:57 |
| gmt_refund |
交易退款时间 |
Date |
否 |
该笔交易的退款时间。格式为yyyy-MM-dd HH:mm:ss.S |
2015-04-28 15:45:57.320 |
| gmt_close |
交易结束时间 |
Date |
否 |
该笔交易结束时间。格式为yyyy-MM-dd HH:mm:ss |
2015-04-29 15:45:57 |
| fund_bill_list |
支付金额信息 |
String(512) |
否 |
支付成功的各个渠道金额信息,详见资金明细信息说明 |
[{“amount”:“15.00”,“fundChannel”:“ALIPAYACCOUNT”}] |
| passback_params |
回传参数 |
String(512) |
否 |
公共回传参数,如果请求时传递了该参数,则返回给商户时会在异步通知时将该参数原样返回。本参数必须进行UrlEncode之后才可以发送给支付宝 |
merchantBizType%3d3C%26merchantBizNo%3d2016010101111 |
| voucher_detail_list |
优惠券信息 |
String |
否 |
本交易支付时所使用的所有优惠券信息,详见优惠券信息说明 |
[{“amount”:“0.20”,“merchantContribute”:“0.00”,“name”:“一键创建券模板的券名称”,“otherContribute”:“0.20”,“type”:“ALIPAY_DISCOUNT_VOUCHER”,“memo”:“学生卡8折优惠”] |
交易状态说明
| 枚举名称 | 枚举说明 |
|---|---|
| WAIT_BUYER_PAY | 交易创建,等待买家付款 |
| TRADE_CLOSED | 未付款交易超时关闭,或支付完成后全额退款 |
| TRADE_SUCCESS | 交易支付成功 |
| TRADE_FINISHED | 交易结束,不可退款 |
通知触发条件
| 触发条件名 | 触发条件描述 | 触发条件默认值 |
|---|---|---|
| TRADE_FINISHED | 交易完成 | true(触发通知) |
| TRADE_SUCCESS | 支付成功 | true(触发通知) |
| WAIT_BUYER_PAY | 交易创建 | false(不触发通知) |
| TRADE_CLOSED | 交易关闭 | true(触发通知) |
其它参数我就不一一列出了,详细见官方API。
2、服务器异步通知页面特性
必须保证服务器异步通知页面(notify_url)上无任何字符,如空格、HTML标签、开发系统自带抛出的异常提示信息等;
支付宝是用POST方式发送通知信息,因此该页面中获取参数的方式,如:request.Form(“out_trade_no”)、$_POST[‘out_trade_no’];
支付宝主动发起通知,该方式才会被启用;
只有在支付宝的交易管理中存在该笔交易,且发生了交易状态的改变,支付宝才会通过该方式发起服务器通知(即时到账交易状态为“等待买家付款”的状态默认是不会发送通知的);
服务器间的交互,不像页面跳转同步通知可以在页面上显示出来,这种交互方式是不可见的;
第一次交易状态改变(即时到账中此时交易状态是交易完成)时,不仅会返回同步处理结果,而且服务器异步通知页面也会收到支付宝发来的处理结果通知;
程序执行完后必须打印输出“success”(不包含引号)。如果商户反馈给支付宝的字符不是success这7个字符,支付宝服务器会不断重发通知,直到超过24小时22分钟。一般情况下,25小时以内完成8次通知(通知的间隔频率一般是:4m,10m,10m,1h,2h,6h,15h);
程序执行完成后,该页面不能执行页面跳转。如果执行页面跳转,支付宝会收不到success字符,会被支付宝服务器判定为该页面程序运行出现异常,而重发处理结果通知;
cookies、session等在此页面会失效,即无法获取这些数据;
该方式的调试与运行必须在服务器上,即互联网上能访问;
该方式的作用主要防止订单丢失,即页面跳转同步通知没有处理订单更新,它则去处理;
当商户收到服务器异步通知并打印出success时,服务器异步通知参数notify_id才会失效。也就是说在支付宝发送同一条异步通知时(包含商户并未成功打印出success导致支付宝重发数次通知),服务器异步通知参数notify_id是不变的。
3、异步返回结果的验签
为了帮助开发者调用开放接口,我们提供了开放平台服务端DEMO&SDK,包含JAVA、PHP和.NET三语言版本,封装了签名&验签、HTTP接口请求等基础功能。强烈建议先下载对应语言版本的SDK并引入您的开发工程进行快速接入。
某商户设置的通知地址为https://api.xx.com/receive_notify.htm,对应接收到通知的示例如下:
注:以下示例报文仅供参考,实际返回的详细报文请以实际返回为准。
https://api.xx.com/receive_notify.htm?total_amount=2.00&buyer_id=2088102116773037&body=大乐透2.1&trade_no=2016071921001003030200089909&refund_fee=0.00¬ify_time=2016-07-19 14:10:49&subject=大乐透2.1&sign_type=RSA2&charset=utf-8¬ify_type=trade_status_sync&out_trade_no=0719141034-6418&gmt_close=2016-07-19 14:10:46&gmt_payment=2016-07-19 14:10:47&trade_status=TRADE_SUCCESS&version=1.0&sign=kPbQIjX+xQc8F0/A6/AocELIjhhZnGbcBN6G4MM/HmfWL4ZiHM6fWl5NQhzXJusaklZ1LFuMo+lHQUELAYeugH8LYFvxnNajOvZhuxNFbN2LhF0l/KL8ANtj8oyPM4NN7Qft2kWJTDJUpQOzCzNnV9hDxh5AaT9FPqRS6ZKxnzM=&gmt_create=2016-07-19 14:10:44&app_id=2015102700040153&seller_id=2088102119685838¬ify_id=4a91b7a78a503640467525113fb7d8bg8e
第一步: 在通知返回参数列表中,除去sign、sign_type两个参数外,凡是通知返回回来的参数皆是待验签的参数。
第二步: 将剩下参数进行url_decode, 然后进行字典排序,组成字符串,得到待签名字符串:
app_id=2015102700040153&body=大乐透2.1&buyer_id=2088102116773037&charset=utf-8&gmt_close=2016-07-19 14:10:46&gmt_payment=2016-07-19 14:10:47¬ify_id=4a91b7a78a503640467525113fb7d8bg8e¬ify_time=2016-07-19 14:10:49¬ify_type=trade_status_sync&out_trade_no=0719141034-6418&refund_fee=0.00&seller_id=2088102119685838&subject=大乐透2.1&total_amount=2.00&trade_no=2016071921001003030200089909&trade_status=TRADE_SUCCESS&version=1.0
第三步: 将签名参数(sign)使用base64解码为字节码串。
第四步: 使用RSA的验签方法,通过签名字符串、签名参数(经过base64解码)及支付宝公钥验证签名。
第五步:在步骤四验证签名正确后,必须再严格按照如下描述校验通知数据的正确性。
1、商户需要验证该通知数据中的out_trade_no是否为商户系统中创建的订单号,2、判断total_amount是否确实为该订单的实际金额(即商户订单创建时的金额),3、校验通知中的seller_id(或者seller_email) 是否为out_trade_no这笔单据的对应的操作方(有的时候,一个商户可能有多个seller_id/seller_email),4、验证app_id是否为该商户本身。上述1、2、3、4有任何一个验证不通过,则表明本次通知是异常通知,务必忽略。在上述验证通过后商户必须根据支付宝不同类型的业务通知,正确的进行不同的业务处理,并且过滤重复的通知结果数据。在支付宝的业务通知中,只有交易通知状态为TRADE_SUCCESS或TRADE_FINISHED时,支付宝才会认定为买家付款成功。
验签过程代码描述【这里列举java示例,按照服务端SDK中提供的工具类】:
Map paramsMap = ... //将异步通知中收到的待验证所有参数都存放到map中
boolean signVerified = AlipaySignature.rsaCheckV1(paramsMap, ALIPAY_PUBLIC_KEY, CHARSET) //调用SDK验证签名
if(signVerfied){
// TODO 验签成功后
//按照支付结果异步通知中的描述,对支付结果中的业务内容进行1\2\3\4二次校验,校验成功后在response中返回success,校验失败返回failure
}else{
// TODO 验签失败则记录异常日志,并在response中返回failure.
} 注意:
- 状态TRADE_SUCCESS的通知触发条件是商户签约的产品支持退款功能的前提下,买家付款成功;
- 交易状态TRADE_FINISHED的通知触发条件是商户签约的产品不支持退款功能的前提下,买家付款成功;或者,商户签约的产品支持退款功能的前提下,交易已经成功并且已经超过可退款期限。
4、代码实现
4.1基础类
AlipayConfig配置类,主要包含支付宝的配置信息
package com.hisap.xql.api.common.ali;
/**
* @Author: QijieLiu
* @Description: 支付宝配置信息
* @Date: Created in 10:39 2018/8/20
*/
public class AlipayConfig {
public static String APP_ID = "xxxxxx";
public static String APP_PRIVATE_KEY = "xxxxxx";//APP私钥
public static String APP_PUBLIC_KEY = "xxxxxx";//APP公钥
public static String ALIPAY_PUBLIC_KEY = "xxxxxx";//支付宝公钥
public static String UNIFIEDORDER_URL = "https://openapi.alipay.com/gateway.do";
public static String NOTIFY_URL = "http://xxx.xxx.xxx.xxx/XqlApi/xxx/paynotify";
public static String CHARSET = "UTF-8";
public static String FORMAT = "json";
public static String SIGNTYPE = "RSA2";
public static String TIMEOUT_EXPRESS = "30m";
}
4.2业务类
AliPayController类
package com.hisap.xql.api.controller;
import java.io.IOException;
import java.math.BigDecimal;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.io.IOUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.alipay.api.internal.util.AlipaySignature;
import com.hisap.xql.api.common.ali.AlipayConfig;
import com.hisap.xql.api.common.bean.ResponseJson;
import com.hisap.xql.api.common.constant.CodeMsg;
import com.hisap.xql.api.common.utils.CommonUtil;
import com.hisap.xql.api.service.AliPayService;
/**
* @Author: QijieLiu
* @Description: 支付宝支付信息
* @Date: Created in 10:39 2018/8/20
*/
@Controller
@RequestMapping("/xxx")
public class AliPayController {
private static final Logger logger = LoggerFactory.getLogger(AliPayController.class);
@Autowired
private AliPayService aliPayService;
@RequestMapping("/xxx")
@ResponseBody
public String paynotify(HttpServletRequest request,HttpServletResponse response) throws Exception {
// String requestJson = IOUtils.toString(request.getInputStream(), "utf-8");
// logger.info("支付宝支付结果通知接口请求数据json:" + requestJson);
try {
java.util.Enumeration enu=request.getParameterNames();
while(enu.hasMoreElements()){
String paraName=(String)enu.nextElement();
System.out.println(paraName+": "+request.getParameter(paraName));
}
} catch (Exception e4) {
e4.printStackTrace();
return "fail";
}
//获取支付宝POST过来反馈信息
Map receiveMap = getReceiveMap(request);
logger.info("支付宝支付回调参数:" + receiveMap);
boolean signVerified = false;
try{
signVerified = aliPayService.paynotify(receiveMap);
logger.info("支付宝支付结果通知接口响应数据json:" + signVerified);
}catch(Exception e){
e.printStackTrace();
logger.error("支付宝支付结果通知接口服务端异常,异常信息---" + e.getMessage(), e);
return "fail";
}
if(signVerified){
return "success";
}else{
return "fail";
}
}
/**
*方法说明: TODO 获取请求参数
*
返回说明: Map receiveMap
*创建时间: 2018年8月20日 下午3:05:02
*
创 建 人: QijieLiu
**/
private static Map getReceiveMap(HttpServletRequest request){
Map params = new HashMap();
Map requestParams = request.getParameterMap();
for (Iterator iter = requestParams.keySet().iterator(); iter.hasNext();) {
String name = (String) iter.next();
String[] values = (String[]) requestParams.get(name);
String valueStr = "";
for (int i = 0; i < values.length; i++) {
valueStr = (i == values.length - 1) ? valueStr + values[i]
: valueStr + values[i] + ",";
}
//乱码解决,这段代码在出现乱码时使用。
//valueStr = new String(valueStr.getBytes("ISO-8859-1"), "utf-8");
params.put(name, valueStr);
}
return params;
}
}
AliPayService接口类
package com.hisap.xql.api.service;
import java.math.BigDecimal;
import java.util.Map;
import com.hisap.xql.api.common.bean.ResponseJson;
/**
* @Author: QijieLiu
* @Description: 支付宝支付
* @Date: Created in 11:29 2018/8/20
*/
public interface AliPayService {
boolean paynotify(Map receiveMap) throws Exception;
}
AliPayServiceImpl接口实现类
package com.hisap.xql.api.service.impl;
import java.math.BigDecimal;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.alipay.api.AlipayApiException;
import com.alipay.api.AlipayClient;
import com.alipay.api.DefaultAlipayClient;
import com.alipay.api.domain.AlipayTradeAppPayModel;
import com.alipay.api.internal.util.AlipaySignature;
import com.alipay.api.request.AlipayTradeAppPayRequest;
import com.alipay.api.request.AlipayTradeRefundRequest;
import com.alipay.api.response.AlipayTradeAppPayResponse;
import com.alipay.api.response.AlipayTradeRefundResponse;
import com.hisap.xql.api.common.ali.AlipayConfig;
import com.hisap.xql.api.common.ali.AlipayRefund;
import com.hisap.xql.api.common.bean.ResponseJson;
import com.hisap.xql.api.common.constant.CodeMsg;
import com.hisap.xql.api.common.utils.Collections3;
import com.hisap.xql.api.common.utils.CommonUtil;
import com.hisap.xql.api.common.utils.StringUtil;
import com.hisap.xql.api.common.utils.VersionUtil;
import com.hisap.xql.api.dao.XqlOrderGoodsMapper;
import com.hisap.xql.api.model.XqlOrder;
import com.hisap.xql.api.model.XqlOrderGoods;
import com.hisap.xql.api.model.XqlOrderGoodsExample;
import com.hisap.xql.api.model.XqlVersion;
import com.hisap.xql.api.service.AliPayService;
import com.hisap.xql.api.service.CommonService;
import com.hisap.xql.api.service.ErpInterfaceService;
import com.hisap.xql.api.service.WeChatPayService;
import com.hisap.xql.api.service.XqlOrderService;
@Service
public class AliPayServiceImpl implements AliPayService {
private static final Logger logger = LoggerFactory
.getLogger(AliPayServiceImpl.class);
@Autowired
CommonService commonService;
@Autowired
XqlOrderService xqlOrderServiceImpl;
@Autowired
XqlOrderGoodsMapper xqlOrderGoodsMapper;
@Autowired
WeChatPayService weChatPayServiceImpl;
@Autowired
ErpInterfaceService erpInterfaceServiceImpl;
@Override
public boolean paynotify(Map receiveMap) throws Exception {
boolean signVerified = false;
signVerified = AlipaySignature.rsaCheckV1(receiveMap,
AlipayConfig.ALIPAY_PUBLIC_KEY, AlipayConfig.CHARSET,
AlipayConfig.SIGNTYPE);
if (signVerified) {
String tradeStatus = receiveMap.get("trade_status");
if ("TRADE_FINISHED".equals(tradeStatus)
|| "TRADE_SUCCESS".equals(tradeStatus)) {
String orderNoStr = receiveMap.get("out_trade_no").toString();
BigDecimal orderNo = new BigDecimal(orderNoStr);
XqlOrder xqlOrder = xqlOrderServiceImpl
.selectXqlOrderByOrderNo(orderNo);
// 订单不存在
if (xqlOrder == null) {
logger.info("订单号" + orderNoStr + "不存在");
return false;
}
// 订单已经支付
if (xqlOrder.getOrderStatus() != 101
&& xqlOrder.getPayStatus() == 1) {
logger.info("订单号" + orderNoStr + "已经支付");
return true;
}
// 判断电商订单还是门店订单
Short deliveryType = xqlOrder.getDeliveryType();
String trade_no = xqlOrder.getPayNo();
Long orderAmountL = xqlOrder.getOrderAmount();
BigDecimal orderAmountB = new BigDecimal(orderAmountL);
BigDecimal d100 = new BigDecimal(100);
BigDecimal orderAmount = orderAmountB.divide(d100, 2, 2);
// 根据单据类型进行补单,成功则更新单据支付信息,失败则进行退款
ResponseJson responseJson = weChatPayServiceImpl.fullorder(deliveryType, orderNo);
if (responseJson.getCode().equalsIgnoreCase(CodeMsg.SUCCESS_CODE)) {
XqlOrder xqlOrder1 = new XqlOrder();
xqlOrder1.setOrderNo(orderNo);
if(xqlOrder.getDeliveryType() == 0){
xqlOrder1.setOrderStatus(302);
xqlOrder1.setSelfDeliveryStatus((short) 0);
}else{
xqlOrder1.setOrderStatus(201);
}
xqlOrder1.setPayStatus((short) 1);
xqlOrder1.setPayType((short) 1);
xqlOrder1.setPayAccount(receiveMap.get("trade_no"));
xqlOrder1.setPayNo(receiveMap.get("trade_no"));
xqlOrder1.setPaidAmount(Math.round(Double.parseDouble(receiveMap.get("total_amount").toString()) * 100));
xqlOrder1.setPayTime(new Date());
int returnResult = xqlOrderServiceImpl
.updateXqlOrderByOrderNo(xqlOrder1);
if (returnResult > 0) {
return true;
} else {
logger.info("订单号" + orderNoStr + "更新支付信息失败");
return false;
}
} else {
// 退单
refund(trade_no, orderAmount);
}
}
}
return signVerified;
}
}
在异步返回结果的验签过程中,一开始死活验签不通过,查阅了大量资料,发现AlipaySignature.rsaCheckV1(paramsMap, ALIPAY_PUBLIC_KEY, CHARSET)方法中,ALIPAY_PUBLIC_KEY参数为支付宝公钥,并不是APP的公钥。
切记alipaypublickey是支付宝的公钥,请去open.alipay.com对应应用下查看。
这里我截取了我的支付宝沙箱环境图片,供大家参考:
好了,这一章支付宝验证异步通知消息就已经完成了,下一章讲述支付宝申请退款接口开发。