我所在公司需要开发一款商城小程序,里面需要用到微信支付,我负责里面的下单功能,从小程序端到后台的支付流程都是我自己开发的,由于我们组没有人有开发微信支付的经验,只有我有开发过JSAPI的微信支付的经验,但是之前的开发经验自己其实还不是很理解,现在又要开发小程序的微信支付,很多东西都还不怎么明白,但是没办法,只能我自己琢磨,写完之后总感觉有bug,但是不知道该怎么改才合适,前前后后踩了不少的坑,自己有时间也研究了一下,改动了好几次之后,我觉得目前的版本是最顺畅,安全性也是最高的,我把目前的做法流程记录一下,供他人参考。
- 首先要拿到收款的微信商户号和支付秘钥
- 确保拿到用户的openid,获取用户的openid的流程大致是,在微信端使用wx.login获取到code,将code传到服务器换取openid,具体的流程可去官方文档查看获取openid
- 创建一个代付款的订单,得到该订单的单号
- 调用微信支付的统一下单接口微信支付统一下单,调用预下单接口的时候,要传入一个正确的通知地址,进行预下单之后,得到一个prepay_id
- 用得到的prepay_id在js里调用发起支付微信小程序支付
- 支付结果,微信会通过服务端通知到统一下单的时候的通知地址,当收到微信支付结果通知之后,需要对接收到的信息进行签名验证,确保验证通过了,才更新订单的状态。
踩坑集合:
- 最开始的版本是直接在小程序微信支付的js的success回调里,接收到了支付成功之后,再在js里调用修改订单状态的接口,这样做其实很不安全,因为别人一旦拿到小程序的源码,就可以直接跳过微信支付,直接调用修改订单付款状态的接口了,而且,如果客户在微信支付完成之后,没有点完成按钮,也不会进入js的success回调里面,所以需要通过服务端的通知接口,接收到支付结果通知之后,再在服务端修改订单付款状态,这样就没有问题了。
- 多次通知付款结果的问题。付款结果通知,微信会发起多次,一开始的时候,我发现同一个订单会有多条一样的付款日志,没找到问题,后面看了微信支付的官方文档之后,才知道,为了保证能接收到支付的结果,同一条订单的支付结果会通知多次,需要开发者自己进行处理。
- 支付结果通知的安全性问题。因为支付结果通知接收的地址是对外开放的,所以一旦地址泄露出去,有可能会被有心人调用,按照一定的参数格式调用,就能修改订单的付款状态,造成假的支付通知。所以在收到支付结果通知的时候,需要对接收到的数据按照签名的规则进行签名校验,校验通过了,才更新订单的付款状态。签名需要用到支付秘钥,只要秘钥没有泄露,就不会有安全性问题。
- 微信支付的秘钥不要读到前端。因为我们的接口分了好多地方读取,所以在进行微信统一下单的时候,有把支付秘钥在小程序的js页面里读出来,再在js里调统一下单的接口,从安全性的角度上来看,这样不够安全,支付秘钥的读取和传输应该只在后端操作,不应该读到前端,当然读到前端也没有问题,但是可以改的话最好改一下。
附:微信JSAPI支付流程
微信JSAPI支付流程和小程序的支付流程基本一致,需要注意两点:
- 需要在微信商户平台配置支付目录,只有跳转到了支付目录的地址,才能发起微信支付。
- 网页需要获取openid需要进行一次页面跳转,需要用户对网页授权之后,才能获取到code,获取到code之后,再使用code获取到openid,再进行统一下单预支付,其他流程就和小程序一致。因为在网页里要获取到openid必须要进行一次页面跳转才能获取到openid,所以我建议可以在订单确认页面,确认好信息之后,先下好待付款的订单,得到订单号之后再跳转,跳转到支付页面的时候,进行获取openid的操作,再进行下面的操作即可。
获取openid参考微信网页授权