如何验证服务器创建的支付宝订单格式正确

APP支付接口：
服务器端使用框架：Thinkphp5
登录蚂蚁金服开放平台 --> 创建应用 --> 添加App支付功能。具体查看官方文档
下载官方 SDK (PHP版本资源)——当前SDK版本:106  生成时间:2017-07-25 11:46:10
将SDK原码放置在TP5的vendor目录下的alipay文件夹（可根据实际使用框架技术进行实际调整）。

操作方法

（01）支付接口调用原理1、APP支付系统架构APP支付系统架构图

（02）2、数据校验原理应用公钥（商户自身的RSA公钥）：支付宝使用该公钥验证该交易是商户发起。支付宝公钥（支付宝的RSA公钥）：商户使用该公钥验证该结果是支付宝返回的。

（03）3、系统交互流程系统交互流程图

（04）4、支付场景具体实现流程（最详细图解）在集成App支付能力时，建议实现如下支付流程，创建订单并支付，根据返回的结果确定支付状态，并进行相应的异常处理，其过程如图所示.支付场景具体实现流程商家APP在创建订单并且唤起支付宝APP支付，流程如图所示，根据第2.2，3步返回的支付结果，确定支付状态，并且做相应的异常处理(必要时关闭订单)

代码实现

（01）步骤1：商户APP端请求商户服务器接口，提交订单数据。

（02）步骤2：商户服务器端接收数据，然后对数据进行签名，返回请求参数到商户APP端。官方接口文档：https://docs.open.alipay.com/204/105465/——代码如下：//vendor();为TP5框架的方法，作用：导入第三方框架类库vendor('alipay.aop.AopClient');vendor('alipay.aop.request.AlipayTradeAppPayRequest');//实例化支付接口$aop = new AopClient();$aop->gatewayUrl = ""; //支付宝网关$aop->appId = “应用ID,填写你的APPID”;$aop->rsaPrivateKey = "商户私钥，您的原始格式RSA私钥()";$aop->alipayrsaPublicKey = "支付宝公钥";$aop->apiVersion = '1.0';$aop->signType = "签名方式，如 RSA2 ";$aop->postCharset = 'UTF-8';$aop->format = "json";//实例化具体API对应的request类,类名称和接口名称对应,当前调用接口名称：$appRequest = new AlipayTradeAppPayRequest();//SDK已经封装掉了公共参数，这里只需要传入业务参数$bizcontent = json_encode(['body' => '余额充值',  //订单描述'subject' => '充值',   //订单标题'timeout_express' => '30m','out_trade_no' => ‘20170125test01’, //商户网站唯一订单号'total_amount' => '0.01', //订单总金额'product_code' => 'QUICK_MSECURITY_PAY', //固定值]);$appRequest->setNotifyUrl($url);  //设置异步通知地址$appRequest->setBizContent($bizcontent);//这里和普通的接口调用不同，使用的是sdkExecute$response = $aop->sdkExecute($appRequest);//htmlspecialchars是为了输出到页面时防止被浏览器将关键参数html转义，实际打印到日志以及http传输不会有这个问题echo htmlspecialchars($response);//就是orderString 可以直接给客户端请求，无需再做处理。// 如果最后有问题可以尝试把htmlspecialchars方法去掉，直接返回$response

（03）步骤3：商户APP接收从商户服务器端返回的请求参数，然后调起支付宝支付面板。若用户支付成功，支付宝会同步给商户APP端返回一个支付结果。相应地，支付宝也会通过异步通知给商户服务器端返回一个支付结果。注意：由于同步通知和异步通知都可以作为支付完成的凭证，且异步通知支付宝一定会确保发送给商户服务端。为了简化集成流程，商户可以将同步结果仅仅作为一个支付结束的通知（忽略执行校验），实际支付是否成功，完全依赖服务端异步通知。

（04）步骤4：服务端异步通知处理机制（支付宝主动发起通知，该方式才会被启用）官方接口文档：注意点：1）必须保证服务器异步通知页面（notify_url）上无任何字符，如空格、HTML标签、开发系统自带抛出的异常提示信息等；2）支付宝是用POST方式发送通知信息，因此该页面中获取参数的方式，如：$_POST[‘out_trade_no’]；3）程序执行完后必须打印输出“success”（不包含引号）。如果商户反馈给支付宝的字符不是success这7个字符，支付宝服务器会不断重发通知，直到超过24小时22分钟。一般情况下，25小时以内完成8次通知（通知的间隔频率一般是：4m,10m,10m,1h,2h,6h,15h）；4）当商户收到服务器异步通知并打印出success时，服务器异步通知参数notify_id才会失效。——代码如下：$aop = new AopClient;$aop->alipayrsaPublicKey = '请填写支付宝公钥，一行字符串';$flag = $aop->rsaCheckV1($_POST, NULL, "RSA2");  //验证签名if($flag)exit('fail');}echo"fail"; //验证签名失败

（05）步骤5：当商户APP端接收到支付宝的同步返回结果为成功时，商户APP端再请求商户服务器端API，判断订单最终支付结果，并做出最终响应。

特别提示

在调试过程中要对代码的安全细节做完善，以免数据被泄露