一:问题引入
获取支付二维码之后,当用户扫码完成支付,微信后台会向商户发起回调通知,微信支付接口文档中是这样介绍的:
用户支付完成后,微信会把相关支付结果和用户信息发送给商户,商户需要接收处理该消息,并返回应答。
对后台通知交互时,如果微信收到商户的应答不符合规范或超时,微信认为通知失败,微信会通过一定的策略定期重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功。(通知频率为15s/15s/30s/3m/10m/20m/30m/30m/30m/60m/3h/3h/3h/6h/6h - 总计 24h4m)
我们要做的就是对通知的内容进行签名认证,这时候就需要使用微信支付的公钥进行验签,当然,具体的验签过程不需要我们具体去实现,我们只需要调用相关函数接口即可。验签成功之后,我们还要给微信支付后台返回响应码用于告诉微信支付后台我这边已经接收到了回调通知并成功进行了处理。
附上微信支付时序图:
具体介绍可以查看微信API文档:链接
二:处理流程
处理过程比较简答,这里就不多介绍了,要注意的是要完成这一功能还需要一个内网穿透工具,至于什么是内网穿透具体介绍可以百度查询。简单来说内网穿透就是字面上的意思,让外面的网络能够访问到我们的内网,因为我开发用到的服务器时Tomcat,只支持本地进行访问,要让别人的电脑也能访问你的电脑就需要内网穿透,假如你没有实现内网穿透,那么微信支付后台是没办法将支付回调通知发送到你的电脑的,另外,假如你的项目开启了拦截器或者过滤器,你就需要将该回调通知地址放行。常用的内网穿透工具可以使用闪库、ngrok、花生壳等,前面两个是免费的,花生壳好像也有免费体验的,具体细节可以自己查询一下。还要注意的是同样的通知可能会多次发送给商户系统。商户系统必须能够正确处理重复的通知。 推荐的做法是,当商户系统收到通知进行处理时,先检查对应业务数据的状态,并判断该通知是否已经处理。如果未处理,则再进行处理;如果已处理,则直接返回结果成功。在对业务数据进行状态检查和处理之前,要采用数据锁进行并发控制,以避免函数重入造成的数据混乱。至于怎么解决这一问题我会在下面代码层面讲解。
三:代码实现
3.1:controller层
** * 获取支付通知 * @param request * @param response * @return */ @ApiOperation("支付回调通知") @PostMapping("/native/notify") public String getNativeNotify(HttpServletRequest request, HttpServletResponse response){ log.info("处理支付回调通知"); Gson gson = new Gson(); //应答体 Map<String,String> map = new HashMap<>(); try { //处理通知参数 String body = HttpUtils.readData(request); JSONObject data = JSON.parseObject(body); //回调通知的验签与解密 String wechatPaySerial = request.getHeader(WECHAT_PAY_SERIAL); String apiV3Key = wxPayConfig.getApiV3Key(); String nonce = request.getHeader(WECHAT_PAY_NONCE); // 请求头Wechatpay-Nonce String timestamp = request.getHeader(WECHAT_PAY_TIMESTAMP); // 请求头Wechatpay-Timestamp String signature = request.getHeader(WECHAT_PAY_SIGNATURE); // 请求头Wechatpay-Signature WechatPay2ValidatorForRequest wechatPay2ValidatorForRequest = new WechatPay2ValidatorForRequest(wechatPaySerial,apiV3Key,nonce, timestamp, signature, body,verifier); Notification notification = wechatPay2ValidatorForRequest.notificationHandler(); String eventType = notification.getEventType(); if(eventType.length() == 0){ log.error("支付回调通知验签失败"); response.setStatus(500); map.put("code","ERROR"); map.put("message","失败"); return gson.toJson(map); } log.info("支付回调通知验签成功"); //处理订单 wxPayService.processOrder(notification); //应答响应码(200或者204表示成功) response.setStatus(200); map.put("code","SUCCESS"); map.put("message","成功"); return gson.toJson(map); } catch (Exception e) { e.printStackTrace(); response.setStatus(500); map.put("code","ERROR"); map.put("message","失败"); return gson.toJson(map); } }
3.2:service层
private final ReentrantLock lock = new ReentrantLock(); /** * 处理订单 * @param notification */ @Transactional(rollbackFor = Exception.class) @Override public void processOrder(Notification notification) { String decryptData = notification.getDecryptData(); JSONObject data = JSON.parseObject(decryptData); //获取订单号 String orderNumber = (String) data.get("out_trade_no"); //获取支付状态 String tradeState = (String) data.get("trade_state"); /*在对业务数据进行状态检查和处理之前, 要采用数据锁进行并发控制, 以避免函数重入造成的数据混乱*/ //尝试获取锁: // 成功获取则立即返回true,获取失败则立即返回false。不必一直等待锁的释放 if(lock.tryLock()) { try { //处理重复通知 //接口调用的幂等性:无论接口被调用多少次,产生的结果是一致的 Integer status = ordersService.getOrderStatus(orderNumber); if(status == null || status == 2) { //该订单已经支付 log.info("订单已被处理"); return; } //更新订单状态 ordersService.updateStatusByOrderNo(orderNumber,tradeState); //记录日志 paymentInfoService.saveInfo(notification.getDecryptData()); } finally { //主动释放锁 lock.unlock(); } } }
前面说到要避免函数重入,在这里我采用的是可重入的互斥锁(ReentrantLock)进行并发控制,当线程去尝试获取锁时候,成功获取立即返回true,获取失败则立即返回false,不必一直等待锁的释放,这样就实现了并发控制。此外还需要注意接口调用的幂等性,什么是幂等性呢?简单来说就是无论接口被调用多少次,其返回的结果是一样的。由于微信后台可能会多次返回支付通知,但是假如我们前面已经对订单做了处理就不需要再理会后面的通知了。因此当判断订单状态为已支付时候,就可以直接返回空,至于为什么加上判断订单状态是否为空这一条件,是因为防止我们在开发过程中将订单数据删除,这时候获取的订单状态就为空,会引发空指针异常。最后,ReentrantLock是需要我们手动去释放锁的。
四:友情链接
- 微信支付:开发者文档
- 微信支付API v3的Apache HttpClient扩展
- 项目源代码:这是一个链接
