本文指导开发者如何从不安全的get请求paypal支付方式迁移至推荐的服务器端post方法。通过paypal标准支付流程,利用create order和capture order api实现安全的交易创建与捕获,并结合前端审批流,确保支付数据的完整性和安全性,同时提供必要的php sdk使用和业务逻辑处理建议。
引言:GET请求的风险与POST的必要性
在构建电子商务支付系统时,安全性是首要考量。最初的PayPal支付集成方法,如通过URL参数构建GET请求跳转到PayPal,虽然实现简单,但存在严重的安全漏洞。这种方式将所有交易数据(如商品名称、金额、数量、接收方邮箱等)暴露在URL中,极易被恶意用户通过代理或直接修改URL参数进行篡改,从而导致支付金额错误、商品信息不符甚至将款项发送到错误的账户。为了防范此类风险,并确保交易数据的完整性和安全性,采用PayPal推荐的服务器端POST请求方式进行支付集成至关重要。
PayPal标准支付流程概述
PayPal推荐的“标准支付”或“智能支付按钮”集成方式,核心思想是将交易的创建和捕获逻辑从客户端完全转移到服务器端。前端页面仅负责渲染支付按钮和处理用户交互,而实际的支付API调用则在服务器端完成。这种分离架构有效保护了敏感数据,并确保了业务逻辑的可靠执行。
该流程主要包括两个关键的服务器端API调用:创建订单 (Create Order) 和 捕获订单 (Capture Order),并辅以前端JavaScript SDK进行用户交互。
服务器端API集成:Create Order 与 Capture Order
为了实现安全的PayPal支付,您的服务器需要提供两个API端点,分别用于处理订单的创建和捕获。强烈建议使用PayPal官方提供的Checkout-PHP-SDK(而非手动构建cURL请求或使用已废弃的SDK),以简化开发并确保与PayPal API的兼容性。
立即学习“PHP免费学习笔记(深入)”;
1. 创建订单 (Create Order)
作用: 当用户在您的网站上点击支付按钮时,前端会向您的服务器发送请求。您的服务器收到请求后,将调用PayPal的“创建订单”API,在PayPal系统预先生成一笔订单,并返回一个唯一的订单ID。此时,资金尚未从买家账户扣除。
实现方式:在您的PHP后端创建一个API路由(例如 /api/paypal/create-order)。该路由应接收来自前端的商品信息、金额等数据,然后使用Checkout-PHP-SDK调用PayPal的 /v2/checkout/orders API来创建订单。
关键点:
此路由应仅输出JSON格式的订单ID到前端。订单创建时,需要指定支付意图(通常是 CAPTURE)。在 application_context 中配置 return_url 和 cancel_url,用于PayPal在用户完成或取消支付后重定向用户。
示例代码(PHP,概念性使用SDK):
client = new PayPalHttpClient($environment); } public function createOrder(array $items, string $returnUrl, string $cancelUrl): string { $purchaseUnits = []; $totalAmount = 0; foreach ($items as $item) { $itemTotal = $item['amount'] * $item['quantity']; $totalAmount += $itemTotal; $purchaseUnits[] = [ 'reference_id' => 'PU-' . uniqid(), // 唯一的采购单元参考ID 'amount' => [ 'currency_code' => 'USD', // 或动态货币 'value' => (string) $itemTotal, ], 'items' => [[ 'name' => $item['name'], 'unit_amount' => ['currency_code' => 'USD', 'value' => (string) $item['amount']], 'quantity' => (string) $item['quantity'], ]], ]; } $orderRequest = [ 'intent' => 'CAPTURE', // 意图为捕获资金 'purchase_units' => $purchaseUnits, 'application_context' => [ 'return_url' => $returnUrl, 'cancel_url' => $cancelUrl, 'brand_name' => '您的商店名称', 'shipping_preference' => 'NO_SHIPPING', // 根据需要调整 'user_action' => 'PAY_NOW', // 用户行为:立即支付 'locale' => 'zh-CN', // 本地化设置 ] ]; // 实际SDK调用示例 (OrdersCreateRequest 是 PayPal Checkout SDK 的一部分) // $request = new OrdersCreateRequest(); // $request->prefer('return=representation'); // $request->body = $orderRequest; // try { // $response = $this->client->execute($request); // return $response->result->id; // 返回PayPal生成的订单ID // } catch (Exception $e) { // // 错误处理 // error_log("PayPal Create Order Error: " . $e->getMessage()); // throw new Exception("Failed to create PayPal order."); // } // 模拟返回订单ID return 'ORDER-ID-' . uniqid(); }}// 在您的控制器或路由中:// header('Content-Type: application/json');// $paypalService = new PayPalService();// try {// $orderId = $paypalService->createOrder(// $_POST['items'], // 从前端获取商品数据// 'https://yourstore.com/checkout/success',// 'https://yourstore.com/checkout/cancel'// );// echo json_encode(['id' => $orderId]);// } catch (Exception $e) {// http_response_code(500);// echo json_encode(['error' => $e->getMessage()]);// }
2. 捕获订单 (Capture Order)
作用: 在用户在PayPal页面上授权支付后(但资金尚未转移),前端会再次向您的服务器发送请求,携带之前创建的订单ID。您的服务器收到此请求后,将调用PayPal的“捕获订单”API,实际执行资金转移操作,将款项从买家账户转移到卖家账户。
实现方式:在您的PHP后端创建另一个API路由(例如 /api/paypal/capture-order/{orderId})。该路由接收订单ID,然后使用Checkout-PHP-SDK调用PayPal的 /v2/checkout/orders/{orderId}/capture API来捕获订单。
关键点:
此路由也应仅输出JSON格式的捕获结果(包含交易详情)到前端。最重要的一点: 捕获成功后,您必须立即在服务器端处理所有业务逻辑。这包括将PayPal返回的交易ID(purchase_units[0].payments.captures[0].id)存储到您的数据库,更新订单状态,发送确认邮件,以及任何其他必要的业务操作(如更新库存、分配产品等)。这些操作必须在服务器端完成,并且在将结果返回给前端之前执行,以防止前端通信失败导致业务状态不一致。
示例代码(PHP,概念性使用SDK):
prefer('return=representation'); // try { // $response = $this->client->execute($request); // return json_decode(json_encode($response->result), true); // 返回捕获结果数组 // } catch (Exception $e) { // // 错误处理 // error_log("PayPal Capture Order Error: " . $e->getMessage()); // throw new Exception("Failed to capture PayPal order."); // } // 模拟返回捕获结果 return [ 'id' => 'CAPTURE-ID-' . uniqid(), 'status' => 'COMPLETED', 'purchase_units' => [ [ 'payments' => [ 'captures' => [ ['id' => 'PAYPAL-TRANSACTION-ID-' . uniqid(), 'status' => 'COMPLETED'] ] ] ] ], // ... 其他捕获详情 ]; }}// 在您的控制器或路由中:// header('Content-Type: application/json');// $paypalService = new PayPalService();// $orderId = $_POST['orderID'] ?? $_GET['orderID']; // 从前端获取订单ID// if (!$orderId) {// http_response_code(400);// echo json_encode(['error' => 'Order ID is required.']);// exit;// }// try {// $captureResult = $paypalService->captureOrder($orderId);// // *** 核心业务逻辑处理 ***// if ($captureResult['status'] === 'COMPLETED' && isset($captureResult['purchase_units'][0]['payments']['captures'][0]['id'])) {// $transactionId = $captureResult['purchase_units'][0]['payments']['captures'][0]['id'];// // 1. 存储交易ID到数据库// // 例如:$this->orderRepository->updateOrder($orderId, ['status' => 'paid', 'paypal_transaction_id' => $transactionId]);// // 2. 更新库存// // 3. 发送确认邮件// // 4. 其他业务逻辑...// error_log("Order {$orderId} captured successfully. PayPal Transaction ID: {$transactionId}");// } else {// // 处理非COMPLETED状态或捕获失败// error_log("Order {$orderId} capture status: " . $captureResult['status']);// // 记录失败信息,可能需要人工介入// }// // *** 核心业务逻辑处理结束 ***// echo json_encode($captureResult);// } catch (Exception $e) {// http_response_code(500);// echo json_encode(['error' => $e->getMessage()]);// }
前端审批流集成
前端通过PayPal JavaScript SDK渲染支付按钮,并与服务器端的API进行交互,引导用户完成支付流程。
示例代码(HTML/JavaScript):
以上就是PayPal PHP支付集成指南:实现安全可靠的服务器端交易的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1323148.html
微信扫一扫 
支付宝扫一扫 
