本文目录导读:
PHP项目对接银联支付接口全流程实战指南(附代码与避坑问答)
目录导读
-
银联支付接口概述与选择
- 基础概念:B2C、B2B、快捷支付、网关支付
- PHP项目为什么选择银联(安全性、费率、合规性)
-
对接前环境准备与必要条件
- 银联商户号、签名证书、公钥获取流程
- PHP运行环境要求(OpenSSL、cURL、PHP 7.2+)
-
核心对接步骤拆解(含代码示例)
- 封装配置文件与签名工具类
- 构建支付请求报文
- 发起HTTP请求并处理返回
- 异步通知验证与业务回调
-
常见问题与高频踩坑点
- 签名失败、证书加载错误、回调验签失败
- 中文乱码、时间戳格式、SSL证书路径问题
-
安全强化与性能优化建议
- 日志记录规范、支付状态机设计
- 防重放攻击、数据脱敏策略
-
问答专区(真实开发场景)
- Q1:银联测试环境与生产环境切换需要注意什么?
- Q2:PHP端如何处理银联的异步通知超时?
- Q3:多商户场景下,不同商户号证书如何动态加载?
银联支付接口概述与选择
银联(UnionPay)作为国内银行卡支付的核心通道,提供多种支付接口,在PHP项目中,最常用的是网关支付(页面跳转型)和无跳转支付(后台直连型),网关支付适合Web端,用户体验友好;无跳转支付适合APP或小程序,需要前端配合加密。
选择银联的原因不仅是费率低于支付宝/微信的行业均值(约0.38%~0.6%),更因为银联具备国有金融基础设施的合规背书,尤其适合企业级B2B、电商、教育类平台。
注意:银联支付接口版本目前主流为5.1.0(2024年更新后),需确认自己对接的是标准版还是简化版(简化版已不再推荐使用)。
对接前环境准备与必要条件
1 必须获取的材料
- 商户号(登录银联商户后台获取,格式通常为
88888888888xxxxx) - 签名证书:
.pfx格式文件(包含私钥),密码为申请时设置的证书密码 - 验签证书:
.cer格式文件(银联公钥),用于验证银联回传数据的真实性 - 银联API地址:
- 测试环境:
https://gateway.test.95516.com/gateway/api/frontTransReq.do - 生产环境:
https://gateway.95516.com/gateway/api/frontTransReq.do
- 测试环境:
2 PHP环境检查
// 使用命令行确认扩展 php -m | grep -E 'openssl|curl|mbstring'
必须开启:openssl(用于签名验签)、curl(HTTP通信)、mbstring(处理中文编码),PHP版本建议 >= 7.2,否则5.x版本需额外安装bcmath扩展处理整数溢出。
核心对接步骤拆解(含代码示例)
1 配置文件示例(app/config/unionpay.php)
return [
'mer_id' => '888888888880001', // 测试商户号
'cert_path' => base_path('certs/unionpay.pfx'),
'cert_pwd' => '123456',
'pub_cert_path' => base_path('certs/unionpay.cer'),
'api_url' => env('UNIONPAY_API_URL', 'https://gateway.test.95516.com/gateway/api/frontTransReq.do'),
'notify_url' => 'https://yourdomain.com/api/unionpay/notify',
'return_url' => 'https://yourdomain.com/order/success',
'timeout' => 30,
];
2 签名工具类核心方法
class UnionPaySigner
{
public static function sign($data, $certPath, $certPwd)
{
$p12 = file_get_contents($certPath);
openssl_pkcs12_read($p12, $certs, $certPwd);
$privateKey = $certs['pkey'];
ksort($data);
$string = http_build_query($data);
openssl_sign($string, $sign, $privateKey, OPENSSL_ALGO_SHA256);
return base64_encode($sign);
}
public static function verify($data, $sign, $pubCertPath)
{
$pubKey = file_get_contents($pubCertPath);
ksort($data);
$string = http_build_query($data);
return openssl_verify($string, base64_decode($sign), $pubKey, OPENSSL_ALGO_SHA256) === 1;
}
}
3 构建支付请求(控制器示例)
public function pay(Request $request)
{
$orderNo = 'ORD' . date('YmdHis') . rand(1000, 9999);
$params = [
'version' => '5.1.0',
'encoding' => 'UTF-8',
'signMethod' => '01',
'txnType' => '01', // 01消费
'txnSubType' => '01',
'bizType' => '000201',
'channelType' => '07', // 07:PC端
'merId' => config('unionpay.mer_id'),
'orderId' => $orderNo,
'txnTime' => date('YmdHis'),
'txnAmt' => $request->amount * 100, // 单位:分
'currencyCode' => '156',
'frontUrl' => config('unionpay.return_url'),
'backUrl' => config('unionpay.notify_url'),
'orderDesc' => $request->product_name ?? '商品购买',
];
$params['signature'] = UnionPaySigner::sign($params, config('unionpay.cert_path'), config('unionpay.cert_pwd'));
// 跳转到银联页面(或使用表单自动提交)
return view('unionpay.redirect', ['url' => config('unionpay.api_url'), 'params' => $params]);
}
4 异步通知处理(关键)
public function notify(Request $request)
{
// 1. 验证签名
$respData = $request->except('signature');
$sign = $request->input('signature');
if (!UnionPaySigner::verify($respData, $sign, config('unionpay.pub_cert_path'))) {
Log::error('银联回调签名验证失败', $respData);
return 'fail';
}
// 2. 验证响应码
if ($request->input('respCode') !== '00') {
Log::warning('银联支付失败', ['code' => $request->input('respCode')]);
return 'fail';
}
// 3. 更新订单状态(幂等处理)
DB::transaction(function () use ($request) {
$order = Order::where('order_no', $request->input('orderId'))->lockForUpdate()->first();
if ($order && $order->status === 'pending') {
$order->update([
'status' => 'paid',
'unionpay_tn' => $request->input('queryId'),
'paid_at' => now(),
]);
}
});
return 'success'; // 重要:必须返回小写 success,否则银联会持续重试
}
常见问题与高频踩坑点
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| 报错“Signature Error” | 签名未包含全部字段(如漏了reqReserved) |
检查ksort排序后是否拼接所有字段 |
| 证书加载失败 | 路径错误或密码不对 | 注意:pfx文件密码中特殊字符需转义,建议用realpath()定位文件 |
| 中文乱码 | 未统一编码 | 所有PHP文件保存为UTF-8,encoding字段强制写UTF-8 |
| 异步通知未收到 | 未返回“success”或返回了其他字符 | 严格只返回success(不含空格或换行) |
| SSL证书问题 | cURL无法验证银联证书 | 在cURL选项中设置CURLOPT_SSL_VERIFYPEER => false(仅测试环境建议) |
特别提醒:银联要求时间格式为YYYYMMDDHHmmss,PHP的date('YmdHis')正好匹配,但注意时区问题——请确认服务器时区为Asia/Shanghai。
安全强化与性能优化建议
1 日志与监控
// 引入PSR-3日志,记录所有支付请求与回调原始数据
Log::channel('unionpay')->info('请求参数', $params);
Log::channel('unionpay')->info('回调数据', $request->all());
2 防重放攻击
- 对银联回调中的
orderId加数据库唯一索引,并配合updated_at字段判断是否已处理。 - 设置回调处理超时时间,避免并发导致重复扣款。
3 证书安全
- 生产环境将证书文件放在服务器
/etc/ssl/certs/目录下,限制权限为600。 - 禁止将证书密码硬编码在代码中,建议存入环境变量或密钥管理服务(如AWS Secrets Manager)。
问答专区(真实开发场景)
Q1:银联测试环境与生产环境切换需要注意什么?
A:
- 证书不同:测试环境使用银联提供的测试证书(后缀通常有
test标识),生产环境必须使用通过商户后台正式申请的证书,混用会导致签名验证失败。 - IP白名单:生产环境需在银联商户后台添加服务器公网IP,测试环境无限制。
- 金额阈值:测试环境允许任意金额,生产环境受商户额度限制,建议在环境配置文件中单独维护两套参数,通过
.env的APP_ENV动态切换。
Q2:PHP端如何处理银联的异步通知超时?
A:
银联默认24小时内最多重试5次,间隔时间分别为1秒、2秒、4秒、8秒、16秒,PHP端应确保:
- 回调接口响应时间必须在30秒以内(银联超时设置)。
- 如果业务处理耗时较长(如发短信、调用第三方),建议先返回
success给银联,再将订单ID存入队列异步处理。 - 使用
ORDER BY created_at加索引避免锁等待,或使用Redis临时标记防止重复处理。
Q3:多商户场景下,不同商户号证书如何动态加载?
A:
例如平台模式(一个接单平台对应多个子商户),需要动态切换证书:
- 在商户表中存储
mer_id、cert_path、cert_password字段。 - 在签名方法中传入商户ID,从数据库查询对应证书路径。
- 注意:证书密码建议加密存储(如使用
openssl_encrypt),调用时再解密。 - 缓存策略:使用文件缓存或Redis,按
mer_id将证书对象缓存86400秒,避免每次请求都读取文件。
PHP对接银联支付接口本质上是一个签名、传输、验签的闭环过程,核心难点在于证书管理和签名算法,而回调处理的幂等性是稳定性保障,本文通过真实代码片段和常见坑点解答,希望能帮助你跳过大多数新手会遇到的“证书迷宫”和“重试地狱”,实际开发中,请随时参考银联官方《商户接口文档v5.1.0》,并结合业务特性做适当抽象。
如果你在对接过程中遇到其他卡点,欢迎在评论区留言讨论。
