个人开发者如何使用支付宝沙箱开发支付功能？今天源码码网小编整理了一些资料，仅供大家学习参考：

准备工作

登录支付宝的开发者中心控制台，如图：

设置密钥：

生成密钥的工具，如图：

下面还有安卓版的支付宝（沙箱版），配合使用。

代码

接下来我们就可以着手进行开发。文档很丰富，大家可以根据自己的情况选用，我这里就是用Spring Boot，采用老版的支付宝服务端SDK，简单地实现一下当面付、PC网页扫码付、支付宝回调通知接口（无外网环境下如何测试）、基于AOP的验签、基于hibernate-validator的参数校验以及全局异常捕获。因为只是学习功能，所以代码写的不是那么规整，而且不涉及数据库。

之前在工作中，支付作为一个基础服务，是用Dubbo服务提供对外接口的，随着后续的发展，出现了一系列的问题：

1. 一开始是没有消息验签的。

2. 回调业务系统的接口是HTTP，因为支付服务不可能也用Dubbo Service的方式调业务系统的接口，这得引入多少业务系统的jar啊。这样一来，就很别扭了，你调我接口Dubbo Service，我调你接口HTTP请求。

3. 业务系统都要引入支付服务的jar包。

所以后来改成HTTP服务了。

先看一下结构图：

pom.xml引入jar包：

<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<!-- https://mvnrepository.com/artifact/com.google.guava/guava -->
		<dependency>
			<groupId>com.google.guava</groupId>
			<artifactId>guava</artifactId>
			<version>29.0-jre</version>
		</dependency>
		<!-- https://mvnrepository.com/artifact/com.google.code.gson/gson -->
		<dependency>
			<groupId>com.google.code.gson</groupId>
			<artifactId>gson</artifactId>
		</dependency>
		<!-- https://mvnrepository.com/artifact/com.alipay.sdk/alipay-sdk-java -->
		<dependency>
			<groupId>com.alipay.sdk</groupId>
			<artifactId>alipay-sdk-java</artifactId>
			<version>4.10.145.ALL</version>
		</dependency>
		<!-- https://mvnrepository.com/artifact/org.hibernate.validator/hibernate-validator -->
		<dependency>
			<groupId>org.hibernate.validator</groupId>
			<artifactId>hibernate-validator</artifactId>
		</dependency>
		<!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-aop -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-aop</artifactId>
		</dependency>

在实际工作中，微服务的背景下，要分配给每个业务系统一个clientId、一个验证消息签名用的密钥，还有支付渠道ID——支付宝当面付、扫码支付、APP支付，微信小程序支付等等，不同的channelId对应不同的处理策略。

我们在工作中支付流程是：

1、用户发起支付，业务系统搜集订单信息，通过HTTP请求至支付服务（这里可以是异步也可以是同步）。

2、支付服务对消息进行验签，校验参数合法性，入库，转发请求至支付宝或微信（这里可以是异步也可以是同步）。

3、如果是同步，则直接将返回的信息回传给业务系统，例如PC网页扫码支付，支付宝就返回了<form>标签的HTML代码，业务系统的前端页面要嵌进去。如果是当面付这种，其实是可以走异步的，按需处理吧。

4、用户完成支付后，支付宝会有两个回调return_url、notify_url告知支付状态，支付服务接到结果后再回调业务系统的接口，回写支付状态。

验签的AOP代码：

我在这里使用了AOP而非Filter，仅仅是因为我不喜欢Filter获取消息体时，inputStream无法传入Controller，还要额外处理一下。公司里面倒是用Filter的多，不知道大家在实际工作中是如何处理的。

消息加密方法：

消息加密的方法有很多种，而且每个客户分配的密钥也必须不同，我这里只是为了展示一下功能，采用了Guava的Hashing.sha256方法，实际工作中要按照要求进行修改。

HTTP请求除了放在body的json消息体外，还要在header上放入固定的sign，postman请求如图：

下面是PayController：

alipayNotify这个方法我们后面再说。支付渠道应该有个枚举类，这里省略了。

Controller里的pay方法有点像策略模式，根据不同的支付渠道ID，使用对应的处理Service。只是我们这里省下了Context类。

对参数的校验，这里放在Controller了，大家可以按照公司的开发规范，放在Service也可以。处理类代码如下：

IPayService这个没什么好说的，就是通用的方法，本例就写了一个支付接口。

下面是当面付的Service，因为是学习测试用，所以省略了订单入库的代码：

其中AlipayConfig里面就是之前我们在支付宝上配置的公钥、私钥、网关地址、APPID、还有我们的回调接口，这些信息应该从配置文件或者DB里面获取。

支付宝接收的金额是元，小数点后两位，也就是只到分了。而我们在工作中，实际上金额存的都是long型，没有小数点，直接到分，这里要写一个专门的工具类处理一下，本例省略了。

付款码就是沙箱支付宝APP中，“付款”-“查看数字”。测试的时候要快，因为这段数字会变。

下面是PC网页扫码付的Service：

这里返回的是一段HTML代码（微信支付返回的是一个二维码），我们拿到之后，可以新建一个HTML文件放进去，直接扫码支付。

扫码支付后，支付宝会回调我们提供的return_url和notify_url接口，告知结果，但是作为个人开发，如果没有外网IP，该如何验证一下呢？

先说一下return_url和notify_url的区别。

扫码支付完成后，支付网页会同步跳转到return_url，展示一些信息，这是个get请求，仅发一次。

而notify_url是由支付宝后端发起的post请求，如果我们不返回success消息，支付宝会进行重发。

所以从工作中来说，我们一般是把return_url做一个临时展示，而在notify_url中进行一些逻辑处理，例如回写订单状态等操作。

在测试开发中，因为我们没有外网IP，网页会弹出一个信息框，告知地址无法访问，这时候我们就可以把整个url复制下来，自己在浏览器上访问一下，从而可以验证我们的回调接口是否正常。