微信公眾號開發對接，開發文件也有蠻多坑，所以一路的血淚教訓，這次先針對微信支付整理一下支付的踩坑全過程，開發時間緊現在整理出來，既是對此段時間的學習總結，也希望對遇到同樣問題的童鞋可以有參考價值。

1. 微信掃碼支付

認證微信服務號，申請開通微信支付功能，獲取到微信支付商戶號，然後可以進行開發。

模式一開發前，商戶必須在公眾平臺後臺設定支付回撥URL。URL實現的功能：接收使用者掃碼後微信支付系統回撥的productid和openid。先根據規則生成支付二維碼，使用者掃碼獲取openid，呼叫微信支付的統一下單接口生成預支付id，使用者支付。

模式二流程相比模式一更為簡單，不依賴設定的回撥支付URL。商戶後臺系統先呼叫微信支付的統一下單介面，微信後臺系統返回連結引數code_url，

所以這次的掃碼支付採用了簡單點的模式二：

先呼叫統一下單介面：https://api.mch.weixin.qq.com/pay/unifiedorder

1) 引數：

private String appid = "";//微信支付分配的公眾賬號ID（企業號corpid即為此appId）

    private String mch_id = "";//微信支付分配的商戶號（申請通過之後郵件裡收到的商戶號）

    private String nonce_str = "";//隨機字串，不長於32 位

    private String sign = "";//根據API給的簽名規則進行簽名

    private String body = "";//要支付的商品的描述資訊

    private String attach = "";//支付訂單裡面可以填的附加資料

    private String out_trade_no = "";//商戶系統內部的訂單號

    private int total_fee = 0;//訂單總金額，單位為“分”，只能整數

    private String spbill_create_ip = "";//訂單生成的機器IP

    private String time_start = "";//訂單生成時間， 格式為yyyyMMddHHmmss

    private String goods_tag = "";//商品標記，微信平臺配置的商品標記，用於優惠券或者滿減使用

    private String trade_type = "NATIVE";//JSAPI--公眾號支付、NATIVE--原生掃碼支付、APP--app支付，統一下單介面trade_type的傳參可參考這裡

    private String notify_url = “”;//回撥url 非同步接收微信支付結果通知的回撥地址，通知url必須為外網可訪問的url，不能攜帶引數

    private String detail = "name";

    private String openid = "";//JSAPI 一定要傳 （下面的微信公眾號支付一定要傳的）

2) 簽名生成演算法：

public static String getSign(Map<String,Object> map){
    ArrayList<String> list = new ArrayList<String>();
    for(Map.Entry<String,Object> entry:map.entrySet()){
        if(entry.getKey().equals("sign")) {
            continue;
        }
        if (entry.getValue() != "") {
            list.add(entry.getKey() + "=" + entry.getValue() + "&");
        }
    }
    int size = list.size();
    String [] arrayToSort = list.toArray(new String[size]);
    Arrays.sort(arrayToSort, String.CASE_INSENSITIVE_ORDER);
    StringBuilder sb = new StringBuilder();
    for(int i = 0; i < size; i ++) {
        sb.append(arrayToSort[i]);
    }
    String result = sb.toString();
    result += "key=" + WxpayConfig.getKey();
    result = MD5.MD5Encode(result).toUpperCase();
    return result;
}

隨機字串生成

public static String getRandomStringByLength(int length) {// length<=32
    String base = "abcdefghijklmnopqrstuvwxyz0123456789";
    Random random = new Random();
    StringBuffer sb = new StringBuffer();
    for (int i = 0; i < length; i++) {
        int number = random.nextInt(base.length());
        sb.append(base.charAt(number));
    }
    return sb.toString();
}

3) 回撥處理：

public String wxpaymentCallBack(HttpServletRequest httpRequest, HttpServletResponse httpResponse) throws Exception {
        String returnXML = "";
        try {
            //獲取HTTP請求的輸入流InputStream is = httpRequest.getInputStream();
            //已HTTP請求輸入流建立一個BufferedReader物件BufferedReader br = new BufferedReader(new InputStreamReader(is, "UTF-8"));
            //讀取HTTP請求內容String buffer = null;
            StringBuffer sb = new StringBuffer();
            while ((buffer = br.readLine()) != null) {
                sb.append(buffer);
            }
            br.close();
            ScanPayResDTO scanPayResDto = (ScanPayResDTO) Util.getObjectFromXML(sb.toString(), ScanPayResDTO.class);
            System.out.println("微信回撥："+scanPayResDto.getReturn_code()+",訂單號："+scanPayResDto.getOut_trade_no());
            //商戶系統對於支付結果通知的內容一定要做簽名驗證,並校驗返回的訂單金額是否與商戶側的訂單金額一致，防止資料洩漏導致出現“假通知”，造成資金損失。if (scanPayResDto.getReturn_code().equals("SUCCESS")) {
                if (scanPayResDto.getSign() != null && scanPayResDto.getOut_trade_no() != null) {Map<String, Object> reqData= xmlToMap(sb.toString());
                    System.out.println("微信返回的簽名:"+scanPayResDto.getSign());
                    String sign = Signature.getSign(reqData);
                    System.out.println("系統生成的簽名:"+sign);
                    if (scanPayResDto.getSign().equals(sign)) {//簽名一樣處理訂單資訊logger.info("【支付成功】");                       if(memberService.existOrderSnInRedis(scanPayResDto.getOut_trade_no())){
                           return returnXML("SUCCESS");
                        }
                        Charge charge = new Charge();
                        charge.setOrderNo(scanPayResDto.getOut_trade_no());//訂單號charge.setTransactionNo(scanPayResDto.getTransaction_id());//交易號orderPaymentService.paymentCallBackAsyn(charge);returnXML = returnXML("SUCCESS");
                    } else {
                        logger.info("【簽名失敗】");
                        returnXML = returnXML("FAIL");
                    }
                }
            } else {
                returnXML = returnXML("FAIL");
                logger.info("【支付失敗】");
            }
        } catch (Exception e) {
            returnXML = returnXML("FAIL");
        }
        return returnXML;
    }

    private String returnXML(String return_code) {
        return "<xml><return_code><![CDATA["+ return_code
          + "]]></return_code><return_msg><![CDATA[OK]]></return_msg></xml>";
    }

微信支付結果的通知頻率為15/15/30/180/1800/1800/1800/1800/3600，單位：秒

注意：同樣的通知可能會多次傳送給商戶系統。商戶系統必須能夠正確處理重複的通知。

推薦的做法是，當收到通知進行處理時，首先檢查對應業務資料的狀態，判斷該通知是否已經處理過，如果沒有處理過再進行處理，如果處理過直接返回結果成功。在對業務資料進行狀態檢查和處理之前，要採用資料鎖進行併發控制，以避免函式重入造成的資料混亂。

特別提醒：商戶系統對於支付結果通知的內容一定要做簽名驗證,並校驗返回的訂單金額是否與商戶側的訂單金額一致，防止資料洩漏導致出現“假通知”，造成資金損失。

2. 微信公眾號支付

公眾號支付需要先在公眾號設定支付目錄（請確保實際支付時的請求目錄與後臺配置的目錄一致，否則將無法成功喚起微信支付）和授權域名（開發公眾號支付時，在統一下單介面中要求必傳使用者openid，而獲取openid則需要您在公眾平臺設定獲取openid的域名）。設定參考：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=7_3。

伺服器端先呼叫統一下單介面，獲取到prepay_id，再根據簽名演算法（直接呼叫上方掃碼支付的簽名演算法）生成paySign（參與簽名的引數有appId, timeStamp, nonceStr, package, signType，注意 大小寫，時間戳要轉成秒）

public Map<String, Object> createWxSDPaySign(String prepay_id) {
    Map<String, Object> map = new HashMap<String, Object>();
    map.put("appId", WxpayConfig.getAppid());
    map.put("timeStamp", System.currentTimeMillis()/1000);
    map.put("nonceStr", RandomStringGenerator.getRandomStringByLength(32));
    map.put("package", "prepay_id=" + prepay_id);
    map.put("signType", "MD5");
    String sign = Signature.getSign(map);
    map.put("paySign", sign);
    return map;
}

注意：微信內建物件在其他瀏覽器中無效，即微信公眾號支付只能在微信內部開啟付款。

列表中引數名區分大小，大小寫錯誤簽名驗證會失敗。其中：低版本的timestamp欄位名s小寫，新版的timeStamp欄位名S大寫

wx.chooseWXPay({
    timestamp: 0, // 支付簽名時間戳，注意微信jssdk中的所有使用timestamp欄位均為小寫。但最新版的支付後臺生成簽名使用的timeStamp欄位名需大寫其中的S字元    nonceStr: '', // 支付簽名隨機串，不長於 32 位    package: '', // 統一支付介面返回的prepay_id引數值，提交格式如：prepay_id=***）    signType: '', // 簽名方式，預設為'SHA1'，使用新版支付需傳入'MD5'    paySign: '', // 支付簽名    success: function (res) { // 支付成功後的回撥函式    }
    });

WeixinJSBridge.invoke(
            'getBrandWCPayRequest', {
           "appId":"wx2421b1c4370ec43b",     //公眾號名稱，由商戶傳入           "timeStamp":"1395712654",         //時間戳，自1970年以來的秒數           "nonceStr":"e61463f8efa94090b1f366cccfbbb444", //隨機串           "package":"prepay_id=u802345jgfjsdfgsdg888",     
           "signType":"MD5",         //微信簽名方式：           "paySign":"70EA570631E4BB79628FBCA90534C63FF7FADD89" //微信簽名       },
       function(res){     
           if(res.err_msg == "get_brand_wcpay_request:ok" ) {}            }
   ); 

3. 微信支付--優惠券 紅包支付--回撥簽名驗證問題

還要注意一個問題 支付回撥通知返回的資料最好用Map接收，再進行簽名校驗，因為如果有獎勵金或者優惠券等引數，可能接收的物件沒有寫全而導致驗籤失敗，踩坑教訓，所以後面簽名用Map了，微信官方jdk一開始也是物件，後面也改了，都是用的map接收，還有一個原因就是引數命名，如下圖的引數名是不確定幾個的，所以還是map最方便