2021年3月11日更新:
本文虽受到一定关注,但时隔3年多,其中代码以及安全性都已过时,为避免各位踩坑,请移步我的另外一篇文章:https://blog.brain1981.com/2354.html
本文评论区大家所提出的其他问题,也都已在这篇博客列出的代码中解决,如果你不是用WordPress也没关系,其中PHP部分稍加修改即可使用。
以下是原文:
早有耳闻微信小程序的支付功能开发是一步一坑,这两天果然踩了个遍。除了简要到令人愤怒的官方文档外,网上所有能搜到的相关文章,也没有任何一篇提供的代码是能够顺利跑通的。好在还有一部分前人的经验可以吸取,再加上个人的一点直觉引导,终于在凌晨的时候真机测试通过。
趁热打铁把踩过的坑罗列一遍,最后会附上真机跑通的代码。
首先是小程序支付功能的申请。在半年前我有另一个小程序项目,虽然当时没有开通小程序微信支付的需求,但是我留意过应用号(小程序号)后台微信支付的相关选项。当时,这个小程序因为绑定过已认证的服务号,因此小程序支付是可以直接申请的,无需任何费用。但是这次的项目,同样是另一个已经绑定过认证服务号的小程序,在微信支付界面,提示我要认证当前的小程序号才能开通微信支付,也就是说,绑定服务号还不够,必须把这个小程序号也交300元认证后,才给开通支付功能!真的很坑,好在客户没有什么怨言,非常配合地就把认证给办了…
一天后小程序号认证通过,就有了申请支付的入口:
果断选右边那个,根据给出的提示,到商户平台里面用小程序的appid绑定就行了。
第二个坑,获取openid。在网上能找到的大部分实例代码里,都把获取openid的接口调用直接写在了小程序代码里。这个接口的地址是这样的:
https://api.weixin.qq.com/sns/jscode2session?appid=********&secret=********&js_code=********&grant_type=authorization_code
其中js_code是通过wx.login获得的,这个没问题;appid也没问题;问题在secret上,即appsecret,这个密钥如果直接写在小程序端,本来就不太安全。果不其然,开发工具报错如下:
于是我尝试把api.weixin.qq.com域名加入request合法域名列表,人家不给我加…
那就很奇怪了,为啥网上很多例子给出的代码是直接请求api.weixin.qq.com接口的?别人可以我就不可以,没道理啊!
花了很多时间查证,小程序是今年年初的时候禁止了api.weixin.qq.com域名的直接请求的,目的就是为了避免开发者把appsecret直接写在小程序端的代码里,造成安全隐患。虽说是为了安全着想,但这真的很坑爹,官方在开发资料里面并没有提到这事情,导致很多人在此绕了弯路。
此外,我在开发过程中,其实是一路绕过这个坑的。因为发现虽然开发工具会报错不能请求这个域名,但是在开发工具提供的远程调试功能里,在手机上是可以直接请求这个接口的。于是获取openid这个过程在最初的开发调试中并没有暴露问题,而是在我觉得已经大功告成,即将提供对外测试的版本中,在手机上关闭了vconsole后,微信支付功能拉不起来,并且因为关闭了vconsole就看不到任何报错信息,是直觉告诉我这个请求域名发生了问题。微信开发就是这么操蛋,很多时候得靠程序员的直觉,而不是文档…
解决这个问题的唯一办法就是写一个PHP扔到自己的服务器上,借助这个PHP请求openid的接口,再返回给小程序端。这个PHP的代码附在文末。
接下来第三个坑,是签名验证。首先我们要进行商户这里的统一支付签名,把appid、商品名、商户id、nonce值、notify_url、openid、订单号、金额….等等一连串的值,按照key=value&key=value&…格式,key为字母顺序排列下来,最后加上”商户key”(在商户后台的“账户中心 – API安全”页面获得,也叫API密钥),组成一个字符串,并经过MD5加密后生成一串签名值。
这些值,获取的地方哪里都有,光收集他们就得费一番力气;收集完毕后,还要按既定顺序排列,不能颠倒,并且商户key值是例外,得排在最后。MD5加密方法是gitHub上找的现成代码,给出地址:
https://github.com/leibing8912/WxMD5
以上签名完成后,还要把这些值去掉最后的商户key,加上已经完成的签名,封装成一个XML格式字符串,把这个字符串作为参数请求接口https://api.mch.weixin.qq.com/pay/unifiedorder,在返回的值中提取一串”prepay_id=”值,再用刚才的连接键值的方法获得长字符串,进行第二次MD5加密签名。
真TNND绕啊!我为了调试成功两次签名值,也费了不少力气。好在在别人的文章里看到有微信官方提供的调试工具,帮了不少忙,这是调试工具链接:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=20_1
等到以上统统完成,连同刚才获得的签名值,再根据官方文档重新组织一下各个所需参数,才能通过wx.requestPayment请求拉起支付。而我们可爱的微信官方文档,仅仅介绍了这最后的一步 – wx.requestPayment所需要的几个参数而已,给出的例程更是让人汗颜,欢迎大家去围观(现在是2018年8月16日,我不会知道官方在此之后多久会完善它的文档,但现在这个文档看来是很不友好的):https://developers.weixin.qq.com/miniprogram/dev/api/api-pay.html#wxrequestpaymentobject
下面我将自己调试完毕的代码整理一下,留个存档:
小程序端,保留大部分的console的版本
/* Author: Brain - blog.brain1981.com */ /* 微信支付 */ goWxPay: function () { var that = this; //登陆获取code wx.login({ success: function (res) { console.log("获取login code",res.code); //获取openid that.getOpenId(res.code); } }); }, /* 获取openId */ getOpenId: function (code) { var that = this; wx.request({ url: "https://****?code=" + code, //服务器端的请求地址,域名已加入小程序request白名单 method: 'GET', success: function (res) { console.log("获取openid", res); that.unitedPayRequest(res.data.openid); }, fail: function () { console.log("获取openid 失败", res); }, complete: function () { console.log("获取openid 完毕", res); } }); },//getOpenId() /*统一支付接口*/ unitedPayRequest: function(openid){ var that=this; //统一支付签名 var appid = '';//appid必填 var body = '';//商品名必填 var mch_id = '';//商户号必填 var nonce_str = util.randomString();//随机字符串,不长于32位。 var notify_url = '';//通知地址必填 var total_fee = parseInt(0.01 * 100); //价格,这是一分钱 var trade_type = "JSAPI"; var key = ''; //商户key必填,在商户后台获得 var out_trade_no = '';//自定义订单号必填 var unifiedPayment = 'appid=' + appid + '&body=' + body + '&mch_id=' + mch_id + '&nonce_str=' + nonce_str + '¬ify_url=' + notify_url + '&openid=' + openid + '&out_trade_no=' + out_trade_no + '&total_fee=' + total_fee + '&trade_type=' + trade_type + '&key=' + key; console.log("unifiedPayment", unifiedPayment); var sign = md5.md5(unifiedPayment).toUpperCase(); console.log("签名md5", sign); //封装统一支付xml参数 var formData = "<xml>"; formData += "<appid>" + appid + "</appid>"; formData += "<body>" + body + "</body>"; formData += "<mch_id>" + mch_id + "</mch_id>"; formData += "<nonce_str>" + nonce_str + "</nonce_str>"; formData += "<notify_url>" + notify_url + "</notify_url>"; formData += "<openid>" + openid + "</openid>"; formData += "<out_trade_no>" + that.data.ordernum + "</out_trade_no>"; formData += "<total_fee>" + total_fee + "</total_fee>"; formData += "<trade_type>" + trade_type + "</trade_type>"; formData += "<sign>" + sign + "</sign>"; formData += "</xml>"; console.log("formData", formData); //统一支付 wx.request({ url: 'https://api.mch.weixin.qq.com/pay/unifiedorder', //别忘了把api.mch.weixin.qq.com域名加入小程序request白名单,这个目前可以加 method: 'POST', head: 'application/x-www-form-urlencoded', data: formData, //设置请求的 header success: function (res) { console.log("返回商户", res.data); var result_code = util.getXMLNodeValue('result_code', res.data.toString("utf-8")); var resultCode = result_code.split('[')[2].split(']')[0]; if (resultCode == 'FAIL') { var err_code_des = util.getXMLNodeValue('err_code_des', res.data.toString("utf-8")); var errDes = err_code_des.split('[')[2].split(']')[0]; wx.showToast({ title: errDes, icon: 'none', duration: 3000 }) } else { //发起支付 var prepay_id = util.getXMLNodeValue('prepay_id', res.data.toString("utf-8")); var tmp = prepay_id.split('['); var tmp1 = tmp[2].split(']'); //签名 var key = '';//商户key必填,在商户后台获得 var appId = '';//appid必填 var timeStamp = util.createTimeStamp(); var nonceStr = util.randomString(); var stringSignTemp = "appId=" + appId + "&nonceStr=" + nonceStr + "&package=prepay_id=" + tmp1[0] + "&signType=MD5&timeStamp=" + timeStamp + "&key=" + key; console.log("签名字符串", stringSignTemp); var sign = md5.md5(stringSignTemp).toUpperCase(); console.log("签名", sign); var param = { "timeStamp": timeStamp, "package": 'prepay_id=' + tmp1[0], "paySign": sign, "signType": "MD5", "nonceStr": nonceStr } console.log("param小程序支付接口参数", param); that.processPay(param); } }, }) },//unitedPayRequest() /* 小程序支付 */ processPay: function (param) { wx.requestPayment({ timeStamp: param.timeStamp, nonceStr: param.nonceStr, package: param.package, signType: param.signType, paySign: param.paySign, success: function (res) { // success console.log("wx.requestPayment返回信息",res); wx.showModal({ title: '支付成功', content: '您将在“微信支付”官方号中收到支付凭证', showCancel: false, success: function (res) { if (res.confirm) { } else if (res.cancel) { } } }) }, fail: function () { console.log("支付失败"); }, complete: function () { console.log("支付完成(成功或失败都为完成)"); } }) }//processPay() |
几个要用到的方法,除了MD5用从Github上找的代码,其他如下:
/* Author: Brain - blog.brain1981.com */ /* 时间戳产生函数 */ function createTimeStamp() { return parseInt(new Date().getTime() / 1000) + '' } /* 随机数 */ function randomString() { var chars = 'ABCDEFGHJKMNPQRSTWXYZabcdefhijkmnprstwxyz2345678'; //默认去掉了容易混淆的字符oOLl,9gq,Vv,Uu,I1 var maxPos = chars.length; var pwd = ''; for (var i = 0; i < 32; i++) { pwd += chars.charAt(Math.floor(Math.random() * maxPos)); } return pwd; } /* 获取XML节点信息 */ function getXMLNodeValue(node_name, xml) { var tmp = xml.split("<" + node_name + ">") var _tmp = tmp[1].split("</" + node_name + ">") return _tmp[0] } module.exports = { createTimeStamp: createTimeStamp, randomString: randomString, getXMLNodeValue: getXMLNodeValue } |
在服务端获取openid的PHP代码
//获取用户openid function getPortData($url){ $ch = curl_init(); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_POST, 0); curl_setopt($ch, CURLOPT_HEADER, false); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); $r = curl_exec($ch); //$r = json_decode($r); if($error=curl_error($ch)){ die($error); } curl_close($ch); return $r; } function getopenid(){ $code = $_GET["code"]; if(empty($code)) return array('status'=>0,'info'=>'缺少js_code'); $appid = '';//必填 $appsecret = '';//必填 $url = "https://api.weixin.qq.com/sns/jscode2session?appid=".$appid."&secret=".$appsecret."&js_code=".$code."&grant_type=authorization_code"; $result = getPortData($url); //var_dump($result); echo $result; } getopenid(); |
自此,拼拼凑凑地总算把小程序微信支付跑起来了。
本站所有文章均为原创,欢迎转载,请注明文章出处:https://blog.brain1981.com/1946.html。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。
您也可以扫描左边的二维码,关注我们的微信公众号,在微信上查看我们的案例。
var notify_url = ”;//通知地址必填 大佬 这里具体填的什么啊 这个url 是干啥的
你搞明白了嘛?
这个我回头查了下之前的代码,填的就是我自己网站的域名地址(http://www.xxx.com)。在我的小程序里notify_url暂时只在签名这里用到,所以我猜测填什么都不要紧
notify_url回调地址,是在用户支付完成后,微信通知你用户已完成支付用的。它应该会传给你之前下单获取的prepay_id。
比如说用户支付完毕后,你这边需要做什么,就得靠它了。不然用户支付完了,他什么也没得到,会骂人的 🙂
当然也可以在小程序里通知服务器,但使用回调地址应该比较好
这是否是说我们制作小程序需要申请一个域名,有一个可以公网访问的地址,用来接收用户已完成支付的通知?
完了评论不能删除,晕了晕了,我是在问什么哈哈哈哈哈
没错就是这个意思
url 是一个定位属性
首先说下,没有亲自测试,看了下流程,感觉应该可以跑通。
说下问题,统一支付那块应该是服务器去调合适一些吧,那么多的key都在JS里面必然不安全
出于安全考虑肯定是尽可能多的把这些都放服务器。
但是我觉得在统一支付这一块,即使把key丢出来了,调用不是还有域名或ip限制么,我记得商户后台可以查看限制的,至于到底是域名还是IP,时间久远我也不记得了。微信是不会留这么大一个破绽的。
另外这个当前是否能跑通我现在也不敢保证了,只能保证写这篇文章的时候是肯定能跑通的。目前上线的项目,没有改动过代码,支付运行也正常。
如果你照此操作也能跑通,欢迎留言告知。谢谢
我一直是签名错误,咋回事啊大哥
几个要用的方法写在哪里的,在哪里调用。 我现在就只看见前端把所有的支付跑通了,后端只有一个获取openid的。
你把这些方法名做关键词搜一下不就知道用在了哪里了。这套代码已经很完整了,至少我写这篇文章的时候网上没有比我更完整的了,而且是亲自跑通的。
大哥,用你这个模拟器,真机都调试成功了。 其中就一个 res 报一个没有定义的function . 明天是返回来的数据,传入下一个函数。 结果一直报没有定义。
报未定义函数这种问题应该能自己debug的吧
php只用来获取openid吗?
是的
商户KEY是否是支付KEY
大哥nb
楼主辛苦, 这段代码确实已经相当完整. 但取prepay_id那段放到服务器端,key不在客户端暴露,安全性较好。
谢谢!
的确key在服务器上提供就行了,自己可以写个简单的接口获取,现在看来这里是偷懒了。写这篇文章的当时只为了能调试成功已经很费脑力了,并不太在意安全性方面。
其实我好奇的是,key写在小程序前端,黑客如何可以获取到?小程序的源代码本身有哪些漏洞可以让人直接破解?如果不知道这个方法,我对这里所谓的安全性始终无法提起精神来,也就一直懒得去改这一块。因为我在服务器上简单写一个这样的获取接口,安全性未必比小程序的加密(如果有的话)来的高,所以暂时还不想去改这篇文章。而如果你了解小程序的漏洞和相关安全知识,我相信你已经自己改进了我的程序,本文在其他方面能帮你节约了一些时间也就足够了。
也欢迎分享自己的相关经验,包括如何改进我这篇的代码,不胜感激。
参考 “反编译获取任何微信小程序源码” https://blog.csdn.net/qq_33858250/article/details/80543815
不过作为DEMO, 微信支付的过程这样看起来反而明白, 微信这部分的文档看起来太烦了. 实际使用者在此基础上把部分代码改成服务器端, 工作量也不大,
我没有做过小程序支付,就是觉得微信支付过程繁琐,所以觉得上面的代码比较明了,要更安全点,就是在微信小程序和服务器端之间增加一个来回,微信小程序传openId给服务器端, 服务器端拿openId和key、appId等换取prepay_id, 然后把prepay_id,timeStamp,nonceStr,signType,paySign返回微信小程序,后面过程就一样了。
说实在,你把本该在服务端实现的东西,搞在了小程序里面,姿势不对,踩坑里面难免不了。按照最新文档,订单生成所有流程是在服务端做的,获取openid,拼接参数,调用统一下单api,全部由服务器实现。然后返回小程序需要的requestPayment参数,小程序拉起支付就行了。
谢谢。
不过这是一年多以前的总结了,那时候没有人提供正确的姿势参考,只能一步一步自己踩坑试错,确实比较菜。
刚去官网撇了一眼最新文档 https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=7_3&index=4
那时候可没这么幸福,没有步骤对比和详细的参数说明的。官方有提示把key放在服务端,其余一概无。
现在么,我这篇文章的确过时了。
谢谢大佬分享
谢谢您的帮助,我已成功调起微信支付功能.
并且发现在小程序下使用web-view组件可以兼容h5页面的微信支付.小程序整合支付的另一种思路.
不错哦!