一般来说支付功能都是通过公司申请账户进行开发、测试。如果是个人想了解学习一下，可以使用支付宝提供的沙箱功能，做一些基础功能的学习和测试。我查了一圈没发现微信支付有类似的功能，如果谁知道请说一下。

准备工作

登录支付宝的开发者中心控制台，如图：

个人开发者如何使用支付宝沙箱开发支付功能（个人开发者如何使用支付宝沙箱开发支付功能）

设置密钥：

个人开发者如何使用支付宝沙箱开发支付功能（个人开发者如何使用支付宝沙箱开发支付功能）

生成密钥的工具，如图：

个人开发者如何使用支付宝沙箱开发支付功能（个人开发者如何使用支付宝沙箱开发支付功能）

下面还有安卓版的支付宝（沙箱版），配合使用。

代码

接下来我们就可以着手进行开发。文档很丰富，大家可以根据自己的情况选用，我这里就是用Spring Boot，采用老版的支付宝服务端SDK，简单地实现一下当面付、PC网页扫码付、支付宝回调通知接口（无外网环境下如何测试）、基于AOP的验签、基于hibernate-validator的参数校验以及全局异常捕获。因为只是学习功能，所以代码写的不是那么规整，而且不涉及数据库。

之前在工作中，支付作为一个基础服务，是用Dubbo服务提供对外接口的，随着后续的发展，出现了一系列的问题：

一开始是没有消息验签的。
回调业务系统的接口是HTTP，因为支付服务不可能也用Dubbo Service的方式调业务系统的接口，这得引入多少业务系统的jar啊。这样一来，就很别扭了，你调我接口Dubbo Service，我调你接口HTTP请求。
业务系统都要引入支付服务的jar包。

所以后来改成HTTP服务了。

先看一下结构图：

个人开发者如何使用支付宝沙箱开发支付功能（个人开发者如何使用支付宝沙箱开发支付功能）

pom.xml引入jar包：

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>  <dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>29.0-jre</version> </dependency>  <dependency> <groupId>com.google.code.gson</groupId> <artifactId>gson</artifactId> </dependency>  <dependency> <groupId>com.alipay.sdk</groupId> <artifactId>alipay-sdk-java</artifactId> <version>4.10.145.ALL</version> </dependency>  <dependency> <groupId>org.hibernate.validator</groupId> <artifactId>hibernate-validator</artifactId> </dependency>  <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-aop</artifactId> </dependency>

在实际工作中，微服务的背景下，要分配给每个业务系统一个clientId、一个验证消息签名用的密钥，还有支付渠道ID——支付宝当面付、扫码支付、APP支付，微信小程序支付等等，不同的channelId对应不同的处理策略。

我们在工作中支付流程是：

1、用户发起支付，业务系统搜集订单信息，通过HTTP请求至支付服务（这里可以是异步也可以是同步）。

2、支付服务对消息进行验签，校验参数合法性，入库，转发请求至支付宝或微信（这里可以是异步也可以是同步）。

3、如果是同步，则直接将返回的信息回传给业务系统，例如PC网页扫码支付，支付宝就返回了<form>标签的HTML代码，业务系统的前端页面要嵌进去。如果是当面付这种，其实是可以走异步的，按需处理吧。

4、用户完成支付后，支付宝会有两个回调return_url、notify_url告知支付状态，支付服务接到结果后再回调业务系统的接口，回写支付状态。

验签的AOP代码：

@Aspect@Componentpublic class SignAspect { @Pointcut("execution(* org.leo.demo.controller..PayController.*(..))") public void executionPay() { } @Around("executionPay()") public Object doAround(ProceedingJoinPoint pjp) throws Throwable { ServletrequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes(); HttpServletRequest request = Objects.requireNonNull(attributes).getRequest(); // 获取请求头 Enumeration<String> enumeration = request.getHeaderNames(); Map<String, String> headerMap = Maps.newHashMap(); while (enumeration.hasMoreElements()) { String name = enumeration.nextElement(); String value = request.getHeader(name); headerMap.put(name, value); } Gson gson = new Gson(); String json = gson.toJson(pjp.getArgs()[0]); String signFromHeader = headerMap.get("sign"); // 每个客户端的salt应该是不同的，此处可以根据clientId去DB或Redis中取，顺便也校验一下clientId是否存在 String signFronEncrypt = SignUtils.encrypt(json, SignUtils.salt); System.out.print("n请求明文：" json); System.out.print("n请求签名：" signFromHeader); System.out.println("n加密签名：" signFronEncrypt); if (signFromHeader.equals(signFronEncrypt)) { Object result = pjp.proceed(); return result; } else { DefaultResult<PayResult> result = new DefaultResult<PayResult>(); result.setCode(999); result.setMsg("验签错误"); return result; } }}

我在这里使用了AOP而非Filter，仅仅是因为我不喜欢Filter获取消息体时，inputStream无法传入Controller，还要额外处理一下。公司里面倒是用Filter的多，不知道大家在实际工作中是如何处理的。

消息加密方法：

/** * 真实环境中，盐应该是一个客户端分配一个 */ public static final String salt = "111111"; public static String encrypt(String data, String salt) { // 因为只是验签，没必要解密。MD5已经被废弃 return Hashing.sha256().newHasher().putString(data salt, Charsets.UTF_8).hash().toString(); }

消息加密的方法有很多种，而且每个客户分配的密钥也必须不同，我这里只是为了展示一下功能，采用了Guava的Hashing.sha256方法，实际工作中要按照要求进行修改。

HTTP请求除了放在body的json消息体外，还要在header上放入固定的sign，postman请求如图：

个人开发者如何使用支付宝沙箱开发支付功能（个人开发者如何使用支付宝沙箱开发支付功能）

下面是PayController：

@RestController@Validatedpublic class PayController { @Autowired private AliPayFace2FaceService aliPayFace2FaceService; @Autowired private AliPayScan2PayService aliPayScan2PayService; @PostMapping("/pay.do") @ResponseBody public DefaultResult<PayResult> pay(@Valid @RequestBody PayParam param) { System.out.println("Controller:" param.toString()); if (param.getChannelId() == 1) { return aliPayFace2FaceService.pay(param); } else if (param.getChannelId() == 2) { return aliPayScan2PayService.pay(param); } else { DefaultResult<PayResult> result = new DefaultResult<PayResult>(); result.setCode(222); result.setMsg("支付渠道错误"); return result; } } @RequestMapping("/alipaynotify.do") @ResponseBody public String alipayNotify(HttpServletRequest req) throws AlipayApiException { Map<String, String> params = new HashMap<String, String>(); Map<String, String[]> requestParams = req.getParameterMap(); for (Iterator<String> iter = requestParams.keySet().iterator(); iter.hasNext();) { String name = (String) iter.next(); String[] values = (String[]) requestParams.get(name); String valueStr = ""; for (int i = 0; i < values.length; i ) { valueStr = (i == values.length - 1) ? valueStr values[i] : valueStr values[i] ","; } params.put(name, valueStr); } boolean signVerified = AlipaySignature.rsaCheckV1(params, AlipayConfig.alipay_public_key, AlipayConfig.charset, AlipayConfig.sign_type); if (signVerified) { System.out.println("支付宝回调验签通过"); System.out.println(params.toString()); return "success"; } else { System.out.println("支付宝回调验签失败"); return "error"; } }}

alipayNotify这个方法我们后面再说。支付渠道应该有个枚举类，这里省略了。

Controller里的pay方法有点像策略模式，根据不同的支付渠道ID，使用对应的处理Service。只是我们这里省下了Context类。

对参数的校验，这里放在Controller了，大家可以按照公司的开发规范，放在Service也可以。处理类代码如下：

@ControllerAdvicepublic class GlobalExceptionHandler { @ExceptionHandler(value = MethodArgumentNotValidException.class) @ResponseBody public DefaultResult<List<Map<String, String>>> validParam(MethodArgumentNotValidException e) { // 按需重新封装需要返回的错误信息 List<Map<String, String>> errorMsgs = Lists.newArrayList(); // 解析原错误信息，封装后返回，此处返回非法的字段名称，原始值，错误信息 for (FieldError error : e.getBindingResult().getFieldErrors()) { Map<String, String> errorMap = Maps.newLinkedHashMap(); errorMap.put("字段", error.getField()); errorMap.put("消息", error.getDefaultMessage()); errorMap.put("传入值", error.getRejectedValue().toString()); errorMsgs.add(errorMap); } DefaultResult<List<Map<String, String>>> result = new DefaultResult<List<Map<String, String>>>(); result.setCode(444); result.setMsg("参数校验错误"); result.setData(errorMsgs); return result; }}

IPayService这个没什么好说的，就是通用的方法，本例就写了一个支付接口。

下面是当面付的Service，因为是学习测试用，所以省略了订单入库的代码：

@Servicepublic class AliPayFace2FaceService implements IPayService { @Override public DefaultResult<PayResult> pay(PayParam param) { System.out.println("Service:" param.toString()); // 应从相关配置和数据库拿这些参数 AlipayClient alipayClient = new DefaultAlipayClient(AlipayConfig.gatewayUrl, AlipayConfig.app_id, AlipayConfig.merchant_private_key, "json", AlipayConfig.charset, AlipayConfig.alipay_public_key, AlipayConfig.sign_type); AlipayTradePayRequest request = new AlipayTradePayRequest(); AlipayTradePayModel model = new AlipayTradePayModel(); request.setBizModel(model); model.setOutTradeNo(param.getOrderNo()); model.setSubject(param.getSubject()); // 计算金额应有专门的工具类实现 BigDecimal b1 = new BigDecimal(param.getTotalAmount()); BigDecimal b2 = new BigDecimal(100); BigDecimal bdResult = b1.divide(b2, 2, RoundingMode.DOWN); model.setTotalAmount(bdResult.toString()); model.setAuthCode(param.getAuthCode());// 沙箱钱包中的付款码 model.setScene("bar_code"); AlipayTradePayResponse response = null; try { response = alipayClient.execute(request); System.out.println(response.getBody()); System.out.println(response.getTradeNo()); DefaultResult<PayResult> result = new DefaultResult<PayResult>(); PayResult payResult = new PayResult(); if (response.getCode().equals("10000")) { payResult.setPayOrderNo(response.getTradeNo()); } else { result.setCode(Integer.valueOf(response.getCode())); result.setMsg(response.getMsg() "。" response.getSubMsg()); } return result; } catch (AlipayApiException e) { DefaultResult<PayResult> result = new DefaultResult<PayResult>(); result.setCode(753); result.setMsg("支付宝异常"); result.setData(null); return result; } }}

其中AlipayConfig里面就是之前我们在支付宝上配置的公钥、私钥、网关地址、APPID、还有我们的回调接口，这些信息应该从配置文件或者DB里面获取。

支付宝接收的金额是元，小数点后两位，也就是只到分了。而我们在工作中，实际上金额存的都是long型，没有小数点，直接到分，这里要写一个专门的工具类处理一下，本例省略了。

付款码就是沙箱支付宝APP中，“付款”-“查看数字”。测试的时候要快，因为这段数字会变。

下面是PC网页扫码付的Service：

@Servicepublic class AliPayScan2PayService implements IPayService { @Override public DefaultResult<PayResult> pay(PayParam param) { System.out.println("Service:" param.toString()); AlipayClient alipayClient = new DefaultAlipayClient(AlipayConfig.gatewayUrl, AlipayConfig.app_id, AlipayConfig.merchant_private_key, "json", AlipayConfig.charset, AlipayConfig.alipay_public_key, AlipayConfig.sign_type); AlipayTradePagePayRequest alipayRequest = new AlipayTradePagePayRequest(); alipayRequest.setReturnUrl(AlipayConfig.return_url); alipayRequest.setNotifyUrl(AlipayConfig.notify_url); // 付款金额 BigDecimal b1 = new BigDecimal(param.getTotalAmount()); BigDecimal b2 = new BigDecimal(100); BigDecimal bdResult = b1.divide(b2, 2, RoundingMode.DOWN); // 最晚付款时间。m分钟，h小时，d天，1c-当天（0点关闭）。 String timeoutExpress = "15m"; String body = ""; DefaultResult<PayResult> result = new DefaultResult<PayResult>(); PayResult payResult = new PayResult(); alipayRequest.setBizContent("{"out_trade_no":"" param.getOrderNo() ""," ""total_amount":"" bdResult ""," ""subject":"" param.getSubject() ""," ""body":"" body ""," ""timeout_express":"" timeoutExpress ""," ""product_code":"FAST_INSTANT_TRADE_PAY"}"); try { String htmlStr = alipayClient.pageExecute(alipayRequest).getBody(); System.out.println(htmlStr); payResult.setHtmlStr(htmlStr); } catch (AlipayApiException e) { result.setCode(753); result.setMsg("支付宝异常"); result.setData(null); } return result; }}

这里返回的是一段HTML代码（微信支付返回的是一个二维码），我们拿到之后，可以新建一个HTML文件放进去，直接扫码支付。

个人开发者如何使用支付宝沙箱开发支付功能（个人开发者如何使用支付宝沙箱开发支付功能）

扫码支付后，支付宝会回调我们提供的return_url和notify_url接口，告知结果，但是作为个人开发，如果没有外网IP，该如何验证一下呢？

先说一下return_url和notify_url的区别。

扫码支付完成后，支付网页会同步跳转到return_url，展示一些信息，这是个get请求，仅发一次。

而notify_url是由支付宝后端发起的post请求，如果我们不返回success消息，支付宝会进行重发。

所以从工作中来说，我们一般是把return_url做一个临时展示，而在notify_url中进行一些逻辑处理，例如回写订单状态等操作。

在测试开发中，因为我们没有外网IP，网页会弹出一个信息框，告知地址无法访问，这时候我们就可以把整个url复制下来，自己在浏览器上访问一下，从而可以验证我们的回调接口是否正常。

个人开发者如何使用支付宝沙箱开发支付功能（个人开发者如何使用支付宝沙箱开发支付功能）

准备工作

代码

相关推荐