技术分享-商城篇-支付回调（十四）

概述

在前面我们说到B2C商城中的订单支付模块，也有聊到支付回调，先来了解一下，为什么我们不能在支付完成当前通知同步去更新支付状态，这样不是更加快捷实时吗？为什么一定要走异步回调通知？带着这些问题，我们一会来聊，我们先了解异步回调在支付逻辑占据的位置，第三方支付回调是支付流程的关键环节之一。当用户在商城中完成选购商品并进入支付环节后，系统会调用第三方支付平台（如支付宝、微信支付等）的API接口，生成支付请求。用户在第三方支付页面完成支付后，支付平台会向商城的服务器发送支付结果通知，这一过程称为支付回调。

支付宝支付流程图

微信支付流程图

业务逻辑

在前面我们跑出了两个问题，现在我们来解答一下相关原因，也让新人有一个大概了解
Q：为什么我们不能在支付完成当前通知同步去更新支付状态，这样不是更加快捷实时吗？
A：不能在当前页面进行回调更新支付状态，主要是考虑本身系统业务复杂性、安全性、还有并发性等。

• 系统复杂性：这是基于我们电商系统在订单支付之后，需要做一系列业务数据同步，例如常规的：库存扣减、积分减扣、优惠抵扣、余额解冻、增加销量等，还有额外的特定业务：数据同步、消息通知等等。
• 安全性：当前成功通知页面是一个开放性的公共页面，所有用户都可以访问，所以容易被恶意用户攻击，接口暴露的风险
• 并发性：处理的业务越繁杂，在处理过程中就会有各种问题出现，若是出现当前服务中断，网络异常等就会导致本次支付中断，导致数据更新不完整，造成不良体验，页面通知是没有重试机制；重点是当系统面临流量暴增时，出现异常的情况越多，而没有重试机制处理，造成订单影响不可想象

Q：为什么一定要走异步回调通知？
A：上述回答已经阐述了不能页面通知，异步回调通知可以确保我们的订单支付状态，在遇到系统中断时，第三方平台会重复性发送同步通知，确保本次的交易完成（说一个真实案例，20年疫情期间，但是因为某莲药品事件，导致我所负责的系统，在短时间内出现大量订单，半个小时内用户下单超过2W笔，而实际涌入的流量，事后统计，差不多达千万级，直接压爆我们系统服务器，导致很多已经支付订单，无法更新支付状态，后面事态平息之后，第三方平台的重试机制陆陆续续同步支付状态，确保了没有漏单的情况），下面我们来聊聊异步回调的具体关键点。

回调处理流程

1. 发起支付：用户在商城选择支付方式后，系统生成支付订单，并调用支付平台的API接口，传入必要的支付参数（如订单号、支付金额、回调URL等）。
2. 用户支付：用户跳转到支付平台页面完成支付。
3. 支付结果通知：支付完成后，支付平台通过HTTP请求向商城的回调URL发送支付结果通知，包含支付状态、订单号、支付流水号等信息。
4. 订单状态更新：商城服务器接收到支付结果通知后，根据订单号和支付状态更新订单状态，并处理后续业务逻辑（如发货、积分增加等）。

设计理念

模块化设计

将支付回调逻辑独立成模块，方便维护和扩展。该模块主要负责处理支付结果通知的接收、解析、验证及订单状态的更新。

异步处理

由于网络延迟或支付平台处理时间等因素，支付结果通知可能会延迟到达。因此，采用异步处理机制，确保系统能够高效、稳定地处理支付结果通知。

安全性

数据加密和身份验证是保障支付安全的重要手段。对敏感信息进行加密处理，如订单号、支付金额等，同时验证支付结果通知的来源和完整性，防止恶意攻击。

注意事项

• 回调URL的可靠性：确保回调URL的可靠性和稳定性，避免因网络问题或服务器宕机导致支付结果通知丢失或延迟。

• 重复通知的处理：支付平台可能会因为网络延迟等原因多次发送支付结果通知。因此，在处理支付结果通知时，需要实现幂等性，即无论通知多少次，处理结果都保持一致。

• 订单状态的同步: 确保商城系统内部的订单状态与支付平台的状态保持同步，避免因状态不一致导致的业务问题。

验证回调通知的真实性

原因：防止恶意攻击者伪造支付结果通知进行欺诈。

做法：

• 签名验证：大多数支付平台在发送支付结果通知时，会附带一个签名（如RSA签名、HMAC签名等），用于验证通知的真实性。商城系统需要按照支付平台提供的签名验证算法，对接收到的通知进行签名验证。
• IP地址白名单：将支付平台发送回调通知的IP地址加入白名单，仅允许来自这些IP地址的请求进行进一步处理。
• 时间戳验证：检查回调通知中的时间戳，确保通知在合理的时间范围内。

幂等性处理

原因：防止支付结果通知因网络延迟等原因被重复处理。

做法：

• 唯一标识检查：在数据库中记录已处理过的支付结果通知的唯一标识（如支付流水号），每次接收到通知时先检查该标识是否已存在。
• 状态机模型：使用状态机模型管理订单状态的变化，确保每个订单状态只能由特定的前置状态转移而来，避免状态混乱。

异常处理

原因：确保系统在处理支付结果通知时能够优雅地处理各种异常情况。

做法：

• 日志记录：详细记录处理过程中的关键信息和异常信息，便于问题追踪和排查。
• 重试机制：对于暂时性的网络错误或数据库访问失败，可以设计重试机制，在合理的时间间隔后重新尝试处理。
• 错误反馈：对于无法处理的错误，及时向支付平台反馈，并通知用户或相关人员进行处理。

并发处理

原因：在高并发场景下，确保支付结果通知能够被及时、准确地处理。

做法：

• 异步处理：采用消息队列、异步任务等机制，将支付结果通知的处理与主业务逻辑解耦，提高系统的响应速度和吞吐量。
• 负载均衡：部署多台服务器处理支付结果通知，通过负载均衡器将请求均匀分配到各台服务器上。
• 资源隔离：确保支付结果通知处理所需的资源（如数据库连接、内存等）与其他业务逻辑隔离，避免相互影响。

安全性加固

原因：保护用户数据和系统安全，防止信息泄露和恶意攻击。

做法：

• HTTPS协议：确保回调URL使用HTTPS协议传输数据，加密传输过程中的敏感信息。
• 最小权限原则：在支付结果通知处理逻辑中，遵循最小权限原则，仅授予必要的权限和资源访问权限。
• 安全审计：定期对支付结果通知处理逻辑进行安全审计，发现并修复潜在的安全漏洞。

数据安全

• 数据加密：对敏感信息进行加密处理，如订单号、支付金额、用户信息等。采用HTTPS协议传输数据，确保数据在传输过程中的安全性。

• 身份验证：验证支付结果通知的来源和完整性。通常可以通过验证通知中的签名或加密信息来实现。

• 日志记录：对支付结果通知的处理过程进行详细的日志记录，包括接收时间、处理结果、异常信息等。以便在出现问题时进行追踪和排查。
  当然，回调处理流程中除了上述提到的业务逻辑、设计理念、注意事项和数据安全之外，还有一些特定的注意事项需要开发者特别关注。以下是补充的回调处理流程中需要注意的事项：

新手常见问题及解决方案

问题一：支付结果通知未收到

解决方案：

• 检查回调URL是否正确配置并可达。
• 查看支付平台的日志，确认是否已发送支付结果通知。
• 检查服务器防火墙或安全软件是否阻止了支付结果通知的接收。

问题二：支付结果通知重复处理

解决方案：

• 在处理支付结果通知时，实现幂等性处理逻辑。
• 记录已处理过的支付结果通知的唯一标识（如支付流水号），避免重复处理。

问题三：支付状态与订单状态不一致

解决方案：

• 在支付结果通知处理逻辑中，增加对订单状态的校验和更新逻辑。
• 定期检查商城系统内部的订单状态与支付平台的状态是否一致，并进行同步处理。

总结

聊这么多，其实就是想和大家强调的是，支付很重要，第三方支付回调更是关键环节，其业务逻辑复杂且对安全性要求较高。通过模块化设计、异步处理、数据加密和身份验证等措施，可以确保支付回调逻辑的高效、稳定和安全。同时，需要注意回调URL的可靠性、重复通知的处理和订单状态的同步等问题。针对新手常见问题，提供了相应的解决方案和注意事项，以帮助开发者更好地理解和实现支付回调功能。