如何将ThinkPHP与第三方支付接口的签名参数拼接转换技巧巧妙融合?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1086个文字,预计阅读时间需要5分钟。
ThinkPHP本身不内置签名验证逻辑,需直接调用官方SDK或查阅文档示例。核心问题往往不是算法写错,而是参数拼接前的数据标准化未做。例如,微信支付需参数按字典序排序后拼接,而支付宝需去除空值和空字符串。ThinkPHP的input()可能返回空字符串或0,误判为有效参数。
ThinkPHP 中安全拼接待签名参数的实操步骤
以微信 JSAPI 支付的 sign 字段生成为例,关键不是调用 md5(),而是确保输入字符串完全符合其规范:
- 先用
array_filter($params, function($v) { return $v !== '' && $v !== null && $v !== false; })过滤掉空值(注意:不要用array_filter($params)简写,它会把0、'0'也干掉) - 对剩余键名做严格 ASCII 排序:用
uksort($params, 'strcmp'),避免ksort()在 UTF-8 下对中文键乱序 - 拼接时统一用
=连接键值,用&分隔,且**不 URL 编码**(微信要求原始字符串拼接,签名后再整体urlencode是错的) - 末尾追加
&key=YOUR_KEY(注意是明文 key,不是密钥 ID)
示例片段:
$params = [ 'appid' => config('wechat.app_id'), 'mch_id' => config('wechat.mch_id'), 'nonce_str' => \think\facade\Str::random(32), 'body' => '商品', 'out_trade_no' => date('YmdHis') . mt_rand(1000, 9999), 'total_fee' => 1, 'spbill_create_ip' => request()->ip(), 'notify_url' => url('pay/notify', '', true, true), 'trade_type' => 'JSAPI', 'openid' => $openid, ]; // 过滤 + 排序 + 拼接 $filtered = array_filter($params, function($v) { return $v !== '' && $v !== null && $v !== false; }); uksort($filtered, 'strcmp'); $stringA = http_build_query($filtered, '', '&', PHP_QUERY_RFC3986); $stringA = preg_replace('/[[0-9]+]/', '[]', $stringA); // 修复 thinkphp input 带数组键时的 query 异常 $stringSignTemp = $stringA . '&key=' . config('wechat.key'); $sign = strtoupper(md5($stringSignTemp));
支付宝 RSA2 签名时 ThinkPHP 请求参数的陷阱
支付宝 SDK 要求待签名原文是「字段=值」按字母升序拼接、不带空格、不 URL 编码,但 ThinkPHP 的 Request::param() 默认会将 GET 参数中的 + 解为 (空格),导致签名原文与支付宝服务端不一致。更隐蔽的是,支付宝要求时间戳字段为 yyyy-MM-dd HH:mm:ss 格式(含空格),而 PHP date() 默认生成的字符串若被自动 trim 或转义就失效。
立即学习“PHP免费学习笔记(深入)”;
- 所有传给
alipay_sdk_php的参数,必须用input('', '', null)获取原始未处理值,避免框架自动过滤或转义 - 手动构造
biz_contentJSON 字符串时,用json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES),否则中文会被转成\uXXXX,支付宝验签失败 - 签名前调用
openssl_sign()时,私钥路径务必用__DIR__ . '/cert/app_private_key.pem'绝对路径,相对路径在 CLI 或 FPM 下容易因工作目录不同而加载失败
签名验证环节绕过 ThinkPHP 自动解析的必要性
支付回调(如微信 notify、支付宝 return_url)的验签失败,90% 是因为框架自动把原始 POST 数据做了 parse_str() 或 JSON 解析,破坏了原始报文结构。微信回调必须用 file_get_contents('php://input') 读原始 XML,支付宝同步回调需用 $_GET 原始数组而非 input('get.')。
- 微信 notify:禁用中间件自动解析,路由定义加
['middleware' => ['cors', 'throttle:deny'] ]并在控制器里第一行写$raw = file_get_contents('php://input'); - 支付宝异步通知:用
$_POST配合array_filter($_POST, 'is_string')提取字符串字段,再调用AlipayAopClient::rsaCheckV1() - 切忌在验签前调用任何
input()、param()、post()方法,它们会触发全局过滤器,可能把sign字段提前转义或截断
最易忽略的一点:微信回调 XML 中的 & 实际是 &,但 PHP 自动解析后变成 &,导致验签原文和微信服务器不一致——所以必须用原始 XML 字符串验签,不能依赖 simplexml_load_string() 后再拼。
本文共计1086个文字,预计阅读时间需要5分钟。
ThinkPHP本身不内置签名验证逻辑,需直接调用官方SDK或查阅文档示例。核心问题往往不是算法写错,而是参数拼接前的数据标准化未做。例如,微信支付需参数按字典序排序后拼接,而支付宝需去除空值和空字符串。ThinkPHP的input()可能返回空字符串或0,误判为有效参数。
ThinkPHP 中安全拼接待签名参数的实操步骤
以微信 JSAPI 支付的 sign 字段生成为例,关键不是调用 md5(),而是确保输入字符串完全符合其规范:
- 先用
array_filter($params, function($v) { return $v !== '' && $v !== null && $v !== false; })过滤掉空值(注意:不要用array_filter($params)简写,它会把0、'0'也干掉) - 对剩余键名做严格 ASCII 排序:用
uksort($params, 'strcmp'),避免ksort()在 UTF-8 下对中文键乱序 - 拼接时统一用
=连接键值,用&分隔,且**不 URL 编码**(微信要求原始字符串拼接,签名后再整体urlencode是错的) - 末尾追加
&key=YOUR_KEY(注意是明文 key,不是密钥 ID)
示例片段:
$params = [ 'appid' => config('wechat.app_id'), 'mch_id' => config('wechat.mch_id'), 'nonce_str' => \think\facade\Str::random(32), 'body' => '商品', 'out_trade_no' => date('YmdHis') . mt_rand(1000, 9999), 'total_fee' => 1, 'spbill_create_ip' => request()->ip(), 'notify_url' => url('pay/notify', '', true, true), 'trade_type' => 'JSAPI', 'openid' => $openid, ]; // 过滤 + 排序 + 拼接 $filtered = array_filter($params, function($v) { return $v !== '' && $v !== null && $v !== false; }); uksort($filtered, 'strcmp'); $stringA = http_build_query($filtered, '', '&', PHP_QUERY_RFC3986); $stringA = preg_replace('/[[0-9]+]/', '[]', $stringA); // 修复 thinkphp input 带数组键时的 query 异常 $stringSignTemp = $stringA . '&key=' . config('wechat.key'); $sign = strtoupper(md5($stringSignTemp));
支付宝 RSA2 签名时 ThinkPHP 请求参数的陷阱
支付宝 SDK 要求待签名原文是「字段=值」按字母升序拼接、不带空格、不 URL 编码,但 ThinkPHP 的 Request::param() 默认会将 GET 参数中的 + 解为 (空格),导致签名原文与支付宝服务端不一致。更隐蔽的是,支付宝要求时间戳字段为 yyyy-MM-dd HH:mm:ss 格式(含空格),而 PHP date() 默认生成的字符串若被自动 trim 或转义就失效。
立即学习“PHP免费学习笔记(深入)”;
- 所有传给
alipay_sdk_php的参数,必须用input('', '', null)获取原始未处理值,避免框架自动过滤或转义 - 手动构造
biz_contentJSON 字符串时,用json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES),否则中文会被转成\uXXXX,支付宝验签失败 - 签名前调用
openssl_sign()时,私钥路径务必用__DIR__ . '/cert/app_private_key.pem'绝对路径,相对路径在 CLI 或 FPM 下容易因工作目录不同而加载失败
签名验证环节绕过 ThinkPHP 自动解析的必要性
支付回调(如微信 notify、支付宝 return_url)的验签失败,90% 是因为框架自动把原始 POST 数据做了 parse_str() 或 JSON 解析,破坏了原始报文结构。微信回调必须用 file_get_contents('php://input') 读原始 XML,支付宝同步回调需用 $_GET 原始数组而非 input('get.')。
- 微信 notify:禁用中间件自动解析,路由定义加
['middleware' => ['cors', 'throttle:deny'] ]并在控制器里第一行写$raw = file_get_contents('php://input'); - 支付宝异步通知:用
$_POST配合array_filter($_POST, 'is_string')提取字符串字段,再调用AlipayAopClient::rsaCheckV1() - 切忌在验签前调用任何
input()、param()、post()方法,它们会触发全局过滤器,可能把sign字段提前转义或截断
最易忽略的一点:微信回调 XML 中的 & 实际是 &,但 PHP 自动解析后变成 &,导致验签原文和微信服务器不一致——所以必须用原始 XML 字符串验签,不能依赖 simplexml_load_string() 后再拼。