Keep Thinking

最近接了不少支付相关的sdk，自己看下来发现这个业务其实蛮固定的套路。这里做下总结

介绍

其实市面上是有各种不同的支付平台的，像国内有aliy, wechat, 国外是paypal。 这还是比较主流的平台，如果考虑到其他的渠道，毛估可能会有上百个。

上面这个截图是从payssion平台截图下来的。对于开发者来说要全部接入一遍明显不现实的，并且也受限于法律法规有些平台不是你想接就能接入的。

流程

其实如果自己大概能接2-3个以后就会发现其实这些支付业务是差不多的“套路”的，或者也叫做流程。

1. 去对应平台生成应用，最主要的是拿到appId, appKey, appSecret这三样东西。
    1. appId一般是是用来识别你应用的（非必须）
    2. appKey一般是用于签名（可以认为是公钥），可暴露
    3. appSecret也是用于签名（可以认为是私钥），不可暴露
2. 客户端像业务服务器拉起订单请求，主要是获取订单号orderId和金额amount
3. 客户端带着前面的获取的信息，继续请求业务服务器拉起支付请求。
4. 支付请求需要进心签名，各个平台签名方案不一样。但基本上是将一些必须参数同appKey和appSecret混合起来进行签名，获得一个sig。
    1. 常见的一种签名方式（服务器端）：将业务参数按照字母顺序排列（除掉appKey），然后用appkey进心md5之类签名获得sig。当然这中间会涉及一些特殊字符和大小写处理。
    2. 渠道一般会用私钥去解，看能不能获得相同的sig来判断签名是否正确。
5. 支付请求还需要带着两个额外的参数： returnUrl和notifyUrl。 这两个参数也可以通过渠道网站后台设置。
    1. returnUrl可以认为是支付完成后跳转位置
    2. notifyUrl实际上是一个异步状态同步通知位置
6. 一般来说，通过sdk完成步骤5后，返回结果会有一个和orderId匹配的transactionId。这个东西就是平台的流水号，而orderId是业务的流水号。两者需要建立一个映射关系，比如能够互相查找之类。像国内的基本会返回一个二维码支持移动支付。
7. 基本用户完成支付后，业务网站就是等待渠道调用notifyUrl就好了。为了避免丢失请求或者网络问题，渠道会要求notifyUrl返回特定字符，比如'success'。如果没有收到，它会通过轮询的方式去继续请求这个notifyUrl。最后的结果是要么获取到了特定字符，要么尝试上限达到而失败。
8. 收到NotifyUrl请求，首先也要验证平台过来sig的有效性，然后业务逻辑需要进行一个去重或者“等幂”操作。主要是更新订单状态state和进行商品发放的逻辑。
9. 在notifyUrl也有可能失败的情况下，不少渠道是提供query的功能的。这样业务可以通过主动查找订单的状态来继续自己的业务逻辑。

其实可以看到整个流程还是比较清晰的，就算有平台的差异性，但这个“套路”是基本固定的。有了这个固定的“套路”，其实诞生了不少的“中间商”： 它们做的事情无非是帮你统一了各个平台的差异化：

1. 统一了参数名字
2. 同意了接口路由
3. 统一了签名方法
4. 统一了汇率之类其他东西

然后收取了一些“服务费”。感觉这些公司就是躺着赚钱啊，真是容易。