支付方案

在线支付有两种支付方案：

网站直接与银行对接，如图所示：

通过第三方支付公司与银行对接，如图所示：

这种方式的优缺点： 优点：系统只需要与第三方支付公司打交道，第三方支付公司根据用户选择的支付银行，并根据支付银行的接入规范，引导用户与银行对接，从而实现支付。此种方案最大的优点是系统只需要与第三方支付公司交互，开发工作量极低；缺点：由于通过第三方支付公司引导用户支付，所以用户支付的钱会支付给第三方支付公司，网站再与第三方支付公司定期进行资金结算。所以如果金额较大，资金安全是个大问题。此种支付方案只适合月金额在百万以下的公司。

常见的第三方支付公司

这是我在网上搜索的，排名前十的第三方支付公司：

哈哈哈，易宝支付居然榜上有名。在这里我们选择易宝支付，官网为/，因为考虑到易宝支付接入免费，只从交易金额中扣除1%的手续费，像盛大、e龙网、巴巴运动网等都使用了易宝支付。

支付流程图

在编写代码之前，我们必须理清易宝支付的流程，不然无法进行下去。下面是我画的支付流程图。

支付安全图

在支付的过程中不免会有安全问题发生，我们要避免，那就一定要理解我下面所画的支付安全图。

在线支付代码实现

用户购买完商品，点击支付按钮，向购买网站发出支付请求。

用户输入订单号和金额的界面——pay.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"pageEncoding="UTF-8"%><!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "/TR/html4/loose.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Insert title here</title></head><body><form action="${pageContext.request.contextPath }/bank.jsp" method="post">您的订单号是：<input type="text" name="orderid">订单的金额是：<input type="text" name="money"><input type="submit" value="支付"></form></body></html>

用户要选择支付的银行的界面——bank.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"pageEncoding="UTF-8"%><!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "/TR/html4/loose.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>在线支付</title></head><body><form action="${pageContext.request.contextPath }/PayRequestServlet" method="post"><table width="60%"><input type="hidden" name="orderid" value="${param.orderid }"><input type="hidden" name="money" value="${param.money }"><tr><td><br /></td></tr><tr><td>请您选择在线支付银行</td></tr><tr><td><INPUT TYPE="radio" NAME="pd_FrpId" value="CMBCHINA-NET">招商银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="ICBC-NET">工商银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="ABC-NET">农业银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="CCB-NET">建设银行</td></tr><tr><td><INPUT TYPE="radio" NAME="pd_FrpId" value="CMBC-NET">中国民生银行总行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="CEB-NET">光大银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="BOCO-NET">交通银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="SDB-NET">深圳发展银行</td></tr><tr><td><INPUT TYPE="radio" NAME="pd_FrpId" value="BCCB-NET">北京银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="CIB-NET">兴业银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="SPDB-NET">上海浦东发展银行</td><td><INPUT TYPE="radio" NAME="pd_FrpId" value="ECITIC-NET">中信银行</td></tr><tr><td><br /></td></tr><tr><td><INPUT TYPE="submit" value="确定支付"></td></tr></table></form></body></html>

购买网站处理用户的支付请求，网站根据易宝支付的接入规范，生成一个URL地址，并通知用户浏览器重定向到这个URL地址，向易宝发出支付请求。通过易宝支付产品通用接口帮助文档可知易宝需要的支付请求参数如下：

下面对支付请求参数中的难以理解的参数进行详细说明：

p1_MerId，即商户编号，网站在易宝上申请一个账号时，易宝支付系统为商户分配的唯一身份标识；p8_Url(此参数是非常重要的)，该响应地址就是支付流程图中第14步的那个地址，是由易宝给用户的，通知网站是否支付成功；pd_FrpId，即支付通道编码，用户向易宝发送请求时，告诉易宝找哪个银行去支付；pr_NeedResponse，即应答机制。

用户通过向网站发送支付请求，网站让用户去找易宝，如果用户在易宝那端支付成功，那这时易宝要通知网站支付成功，易宝怎么去通知网站是否支付成功呢？答案是易宝都是要用户浏览器去重定向到网站上面去，在重定向的时候后面跟一个消息，即是否支付成功。那么就会出现一个问题：如果只是采用这种模型来通知网站是否支付成功，这是有问题的，你让用户浏览器重定向，用户浏览器恰恰坏了，那就无法重定向到网站，通知网站是否支付成功，这时无法把订单置为true，即用户就没有支付。那又该怎么去解决这个问题呢？

易宝采用了一种比较稳妥的方法，它收到支付成功的消息后，它会让用户浏览器去重定向到网站上面去，以通知网站是否支付成功。除此之外，它自己还会向在线支付请求参数中的p8_Url所代表的Servlet发请求，它一直发，直到网站给易宝返回success为止，易宝收到success，它就认为网站收到了支付成功的消息，如果易宝向网站发请求，网站没有给它返回success，它就认为网站没收到支付成功的消息，它会不停地向网站发，一直到网站收到为止。hmac，即hmac码。该hmac码是由网站通过以上易宝需要的支付请求参数和密钥(网站在易宝上申请一个账号时，易宝支付系统为每个申请者分配的唯一密钥)混在一起，经由md5算法生成的。

为了程序的扩展性，我们可以将p1_MerId(商户编号)、密钥、p8_Url所代表的Servlet编写在一个properties文件中，properties文件的位置如下所示：

properties文件的内容如下所示：

由于上面是一个properties文件，故我们可以在程序中编写一个工具类(PayConfig.java)来获得商户编号、密钥和p8_Url所代表的Servlet。在cn.liayun.utils包中新建一个工具类，即PayConfig.java。

package cn.liayun.utils;import java.io.IOException;import java.util.Properties;public class PayConfig {private static Properties prop = new Properties();static {try {prop.load(PayConfig.class.getClassLoader().getResourceAsStream("merchantInfo.properties"));} catch (IOException e) {throw new RuntimeException(e);}}public static String getValue(String key) {return prop.getProperty(key);}}

现在就剩最后一个问题了，那就是在得到易宝需要的支付请求参数和密钥之后怎么生成hmac码，也不用着急，我们在读易宝支付产品通用接口帮助文档时，会发现有一个压缩包，如下所示：

我们只需下载并解压，就能找到一个PaymentUtil.java的Java文件，将其修改一下下，就可以用了，而且我也将其拷贝到了cn.liayun.utils包中。修改后的PaymentUtil.java代码如下：

package cn.liayun.utils;import java.io.UnsupportedEncodingException;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;import java.util.Arrays;public class PaymentUtil {private static String encodingCharset = "UTF-8";/*** 生成hmac方法* * @param p0_Cmd 业务类型* @param p1_MerId 商户编号* @param p2_Order 商户订单号* @param p3_Amt 支付金额* @param p4_Cur 交易币种* @param p5_Pid 商品名称* @param p6_Pcat 商品种类* @param p7_Pdesc 商品描述* @param p8_Url 商户接收支付成功数据的地址* @param p9_SAF 送货地址* @param pa_MP 商户扩展信息* @param pd_FrpId 银行编码* @param pr_NeedResponse 应答机制* @param keyValue 商户密钥* @return*/public static String buildHmac(String p0_Cmd,String p1_MerId,String p2_Order, String p3_Amt, String p4_Cur,String p5_Pid, String p6_Pcat,String p7_Pdesc,String p8_Url, String p9_SAF,String pa_MP,String pd_FrpId,String pr_NeedResponse,String keyValue) {StringBuilder sValue = new StringBuilder();// 业务类型sValue.append(p0_Cmd);// 商户编号sValue.append(p1_MerId);// 商户订单号sValue.append(p2_Order);// 支付金额sValue.append(p3_Amt);// 交易币种sValue.append(p4_Cur);// 商品名称sValue.append(p5_Pid);// 商品种类sValue.append(p6_Pcat);// 商品描述sValue.append(p7_Pdesc);// 商户接收支付成功数据的地址sValue.append(p8_Url);// 送货地址sValue.append(p9_SAF);// 商户扩展信息sValue.append(pa_MP);// 银行编码sValue.append(pd_FrpId);// 应答机制sValue.append(pr_NeedResponse);return PaymentUtil.hmacSign(sValue.toString(), keyValue);}/*** 返回校验hmac方法* * @param hmac 支付网关发来的加密验证码* @param p1_MerId 商户编号* @param r0_Cmd 业务类型* @param r1_Code 支付结果* @param r2_TrxId 易宝支付交易流水号* @param r3_Amt 支付金额* @param r4_Cur 交易币种* @param r5_Pid 商品名称* @param r6_Order 商户订单号* @param r7_Uid 易宝支付会员ID* @param r8_MP 商户扩展信息* @param r9_BType 交易结果返回类型* @param keyValue 密钥* @return*/public static boolean verifyCallback(String hmac, String p1_MerId,String r0_Cmd, String r1_Code, String r2_TrxId, String r3_Amt,String r4_Cur, String r5_Pid, String r6_Order, String r7_Uid,String r8_MP, String r9_BType, String keyValue) {StringBuilder sValue = new StringBuilder();// 商户编号sValue.append(p1_MerId);// 业务类型sValue.append(r0_Cmd);// 支付结果sValue.append(r1_Code);// 易宝支付交易流水号sValue.append(r2_TrxId);// 支付金额sValue.append(r3_Amt);// 交易币种sValue.append(r4_Cur);// 商品名称sValue.append(r5_Pid);// 商户订单号sValue.append(r6_Order);// 易宝支付会员IDsValue.append(r7_Uid);// 商户扩展信息sValue.append(r8_MP);// 交易结果返回类型sValue.append(r9_BType);String sNewString = PaymentUtil.hmacSign(sValue.toString(), keyValue);return sNewString.equals(hmac);}/*** @param aValue* @param aKey* @return*/public static String hmacSign(String aValue, String aKey) {byte k_ipad[] = new byte[64];byte k_opad[] = new byte[64];byte keyb[];byte value[];try {keyb = aKey.getBytes(encodingCharset);value = aValue.getBytes(encodingCharset);} catch (UnsupportedEncodingException e) {keyb = aKey.getBytes();value = aValue.getBytes();}Arrays.fill(k_ipad, keyb.length, 64, (byte) 54);Arrays.fill(k_opad, keyb.length, 64, (byte) 92);for (int i = 0; i < keyb.length; i++) {k_ipad[i] = (byte) (keyb[i] ^ 0x36);k_opad[i] = (byte) (keyb[i] ^ 0x5c);}MessageDigest md = null;try {md = MessageDigest.getInstance("MD5");} catch (NoSuchAlgorithmException e) {return null;}md.update(k_ipad);md.update(value);byte dg[] = md.digest();md.reset();md.update(k_opad);md.update(dg, 0, 16);dg = md.digest();return toHex(dg);}public static String toHex(byte input[]) {if (input == null)return null;StringBuffer output = new StringBuffer(input.length * 2);for (int i = 0; i < input.length; i++) {int current = input[i] & 0xff;if (current < 16)output.append("0");output.append(Integer.toString(current, 16));}return output.toString();}/*** * @param args* @param key* @return*/public static String getHmac(String[] args, String key) {if (args == null || args.length == 0) {return (null);}StringBuffer str = new StringBuffer();for (int i = 0; i < args.length; i++) {str.append(args[i]);}return (hmacSign(str.toString(), key));}/*** @param aValue* @return*/public static String digest(String aValue) {aValue = aValue.trim();byte value[];try {value = aValue.getBytes(encodingCharset);} catch (UnsupportedEncodingException e) {value = aValue.getBytes();}MessageDigest md = null;try {md = MessageDigest.getInstance("SHA");} catch (NoSuchAlgorithmException e) {e.printStackTrace();return null;}return toHex(md.digest(value));}// public static void main(String[] args) {//System.out.println(hmacSign("AnnulCard10000432521060450.0http://localhost/SZXpro/callback.asp杩?4564868265473632445648682654736324511","8UPp0KE8sq73zVP370vko7C39403rtK1YwX40Td6irH216036H27Eb12792t"));// }}

到这里，所有的准备工作都已做好，那我们就在cn.liayun.web.servlet包中新建一个Servlet——PayRequestServlet来处理用户的支付请求。

package cn.liayun.web.servlet;import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import cn.liayun.utils.PayConfig;import cn.liayun.utils.PaymentUtil;//处理支付请求@WebServlet("/PayRequestServlet")public class PayRequestServlet extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String p0_Cmd = "Buy";String p1_MerId = PayConfig.getValue("p1_MerId");String p2_Order = request.getParameter("orderid");String p3_Amt = request.getParameter("money");String p4_Cur = "CNY";String p5_Pid = "";// 不是必填，所以为空String p6_Pcat = "";String p7_Pdesc = "";String p8_Url = PayConfig.getValue("responseURL");// 该响应地址就是支付流程图中第14步的那个地址，是由易宝给用户的，通知网站是否支付成功String p9_SAF = "";String pa_MP = "";String pd_FrpId = request.getParameter("pd_FrpId");// 支付通道编码，向易宝发送请求时，告诉易宝找哪个银行去支付String pr_NeedResponse = "1";//应答机制，上面已详细讲过了String keyValue = PayConfig.getValue("keyValue");String hmac = PaymentUtil.buildHmac(p0_Cmd, p1_MerId, p2_Order, p3_Amt, p4_Cur, p5_Pid, p6_Pcat, p7_Pdesc, p8_Url, p9_SAF, pa_MP, pd_FrpId, pr_NeedResponse, keyValue);request.setAttribute("p0_Cmd", p0_Cmd);request.setAttribute("p1_MerId", p1_MerId);request.setAttribute("p2_Order", p2_Order);request.setAttribute("p3_Amt", p3_Amt);request.setAttribute("p4_Cur", p4_Cur);request.setAttribute("p5_Pid", p5_Pid);request.setAttribute("p6_Pcat", p6_Pcat);request.setAttribute("p7_Pdesc", p7_Pdesc);request.setAttribute("p8_Url", p8_Url);request.setAttribute("p9_SAF", p9_SAF);request.setAttribute("pa_MP", pa_MP);request.setAttribute("pd_FrpId", pd_FrpId);request.setAttribute("pr_NeedResponse", pr_NeedResponse);request.setAttribute("hmac", hmac);request.getRequestDispatcher("/payconfirm.jsp").forward(request, response);}protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {doGet(request, response);}}

当网站根据易宝支付的接入规范，生成一个URL地址，并通知用户浏览器重定向到这个URL地址上，向易宝发出支付请求。由于该URL地址后跟的易宝需要的支付请求参数特别的多，我们不可能直接就在URL地址后跟上那么多的支付请求参数，为了更加简便，我们应该怎么做呢？我们可以将易宝需要的支付请求参数都存到request域里面去，然后跳转到一个payconfirm.jsp页面，接着利用隐藏域将这些参数通过表单提交的方式提交给易宝。其中，payconfirm.jsp页面的内容如下：

<%@ page language="java" contentType="text/html; charset=GBK"pageEncoding="UTF-8"%><!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "/TR/html4/loose.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=GBK"><title>Insert title here</title></head><body><form action="/app-merchant-proxy/node" method="post"><input type="hidden" name="p0_Cmd" value="${p0_Cmd }" /><input type="hidden" name="p1_MerId" value="${p1_MerId }" /><input type="hidden" name="p2_Order" value="${p2_Order }" /><input type="hidden" name="p3_Amt" value="${p3_Amt }" /><input type="hidden" name="p4_Cur" value="${p4_Cur }" /><input type="hidden" name="p5_Pid" value="${p5_Pid }" /><input type="hidden" name="p6_Pcat" value="${p6_Pcat }" /><input type="hidden" name="p7_Pdesc" value="${p7_Pdesc }" /><input type="hidden" name="p8_Url" value="${p8_Url }" /><input type="hidden" name="p9_SAF" value="${p9_SAF }" /><input type="hidden" name="pa_MP" value="${pa_MP }" /><input type="hidden" name="pd_FrpId" value="${pd_FrpId }" /><input type="hidden" name="pr_NeedResponse" value="${pr_NeedResponse }" /><input type="hidden" name="hmac" value="${hmac }" /><input type="submit" value="确认支付" /></form></body></html>

特别需要注意：易宝支付平台统一使用GBK/GB2312编码方式，所以，payconfirm.jsp页面的编码最好是GBK。

易宝根据用户带过来的参数，知道了用户是否支付成功之后，再通知用户去找网站，通知网站是否支付成功。此时网站就要编写一个Servlet来处理用户的请求，该Servlet就是在线支付请求参数中的p8_Url所代表的Servlet。同样我们需要查看易宝支付产品通用接口帮助文档，可发现易宝支付的支付结果参数说明，如下所示：

于是，我们在cn.liayun.web.servlet包中新建一个Servlet——PaymentResponse来处理用户是否支付成功的请求。

package cn.liayun.web.servlet;import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import cn.liayun.utils.PayConfig;import cn.liayun.utils.PaymentUtil;@WebServlet("/PaymentResponse")public class PaymentResponse extends HttpServlet {protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {response.setCharacterEncoding("UTF-8");String p1_MerId = PayConfig.getValue("p1_MerId");String r0_Cmd = request.getParameter("r0_Cmd");String r1_Code = request.getParameter("r1_Code");String r2_TrxId = request.getParameter("r2_TrxId");String r3_Amt = request.getParameter("r3_Amt");String r4_Cur = request.getParameter("r4_Cur");String r5_Pid = request.getParameter("r5_Pid");String r6_Order = request.getParameter("r6_Order");String r7_Uid = request.getParameter("r7_Uid");String r8_MP = request.getParameter("r8_MP");String r9_BType = request.getParameter("r9_BType");String keyValue = PayConfig.getValue("keyValue");String hmac = request.getParameter("hmac");boolean b = PaymentUtil.verifyCallback(hmac, p1_MerId, r0_Cmd, r1_Code, r2_TrxId, r3_Amt, r4_Cur, r5_Pid, r6_Order, r7_Uid, r8_MP, r9_BType, keyValue);// b为false，那么以上这些数据就不是易宝带过来的if (!b) {response.getWriter().write("交易签名已被修改！！！");return;}// 处理支付成功if ("1".equals(r1_Code)) {//把用户订单置为true，表示用户订单已支付//....../** 假设这是一个买点卡的网站，用户只要支付成功一次，就给用户一张点卡。* 问题：用户只要支付成功一次，一刷新，就给他一张点卡？那应该怎么办呢？* 解决方法: 每一张点卡就对应着一张订单，每个人卖一张点卡，就产生一张订单，一上来就判断这个订单有没有支付，* 如果这个订单没有支付，就给其一张点卡； 如果这个订单已经支付过了，就不给其点卡了。*//** PaymentResponse程序有可能用户来访问，也有可能银行或易宝来访问* 易宝来访问，通知用户支付成功* * 交易结果返回类型r9_BType：“1”: 浏览器重定向，告诉用户支付成功* 交易结果返回类型r9_BType：“2”: 服务器点对点通讯，易宝来访问，通知用户支付成功，要返回success给它*/if ("1".equals(r9_BType)) {response.getWriter().write("支付成功");return;}if ("2".equals(r9_BType)) {//向易宝写出"success"字符串response.getWriter().write("success");}}}protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {doGet(request, response);}}

关于注意处理重复订单的问题，以防两次通知都处理了相同的业务造成损失的问题，我们一定要高度注意。

至此，我们整个在线支付模块就开发完成了。