一、接入流程总览
1. 申请开通与商户配置
核心目标是完成商户通道的开通与基础参数配置,包括获得商户号、机构号以及所需的证书材料。完成初次申请后,的确切对接细节会在商户中心或对接方提供的开发者平台中给出。商户号、合作方ID、私钥、银联公钥证书等信息是后续对接的基础。
在此阶段需要注意《接入协议》中的对接范围、费率、对账方式等要点,并确保对接环境与生产环境的区分清晰。环境变量的版本控制和权限管理是避免误配置的关键。
另外一个重要环节是完成证书管理与存储策略的落地实现。私钥安全存储、证书轮换流程、访问权限控制,将直接影响签名正确性和回调验签的稳定性。
2. 集成测试环境搭建与沙箱
测试环境用于验证核心接口的可用性与签名流程是否正确,通常提供沙箱网关和测试证书来模拟真实交易场景。对接方会给出测试URL、测试商户号以及示例请求。沙箱环境的成功率直接决定上线节奏。
在测试阶段,务必开启幂等性测试、回调模拟、以及交易超时处理等场景的覆盖。测试用数据、测试证书、测试回调地址应与生产分离,避免数据混淆。
为确保安全性,所有测试阶段也应遵循最小权限原则,仅暴露必要的测试接口和参数,同时记录测试日志以便排错。
3. 生产上线与对账对接
生产上线前需要完成最终的参数核对与环境切换计划。生产网关地址、生产证书、私钥等要与沙箱完全分离,避免跨环境混用。
上线后,需要对接日常的对账、对账单下载以及异常交易的处理流程。对账时间点、对账文件格式、对账口径等都是稳定运营的关键。
在生产环境中,交易成功后的回调验签与幂等性校验将直接影响订单状态的一致性,务必在服务端实现严格的幂等保障。
二、核心接口及调用流程
1. 下单/发起支付接口
为用户创建支付请求并将交易信息提交银联网关,核心要素包括商户号、订单号、金额、币种、回调URL等。正确的参数组织和签名策略是确保网关接受并返回支付流水的前提。
在调用前,应校验参数格式、金额单位、时区与时间戳等基本要素,避免因为格式错乱导致签名失败或网关拒绝。对接过程中的幂等性处理也应在入口处就建立,防止重复提交。
下面给出一个简化的流程描述:构造参数 -> 生成签名 -> 发送请求 -> 接收网关响应,并在收到响应后进入后续回调处理。
// 示例:构造请求参数并签名(伪代码)
Map<String, String> params = new TreeMap<>();
params.put("version", "1.0");
params.put("merchantId", "");
params.put("orderId", "");
params.put("amount", "1000"); // 分为单位
params.put("currency", "156");
params.put("notifyUrl", "https://yourdomain.com/notify");
params.put("orderTime", LocalDateTime.now().format(DateTimeFormatter.ofPattern("yyyyMMddHHmmss")));
String privateKey = loadPrivateKey("");
String sign = SignUtil.signParams(params, privateKey);
params.put("signature", sign);
// 通过HTTP POST提交到银联网关
String gatewayUrl = "https://gateway.unionpay.com/pay";
String response = HttpClientUtil.post(gatewayUrl, params);
2. 支付结果查询接口
交易完成后,商户通常需要查询交易状态以确认实际结算结果。查询接口应提供商户号、订单号、交易时间等关键字段,并对返回结果进行验签。
正确的做法是:先尝试从本地系统的落地流水推送状态,若厂商回调一次没有到达,则可通过查询接口拉取最新状态并进行幂等更新。 查询的幂等性设计非常重要,避免重复更新。
在实现中,务必校验返回的签名、交易状态码和订单金额是否与请求一致,以防篡改或重放攻击。
// 示例:查询交易状态
Map<String, String> queryParams = new TreeMap<>();
queryParams.put("merchantId", "");
queryParams.put("orderId", "");
queryParams.put("txnTime", "");
String sign = SignUtil.signParams(queryParams, privateKey);
queryParams.put("signature", sign);
String url = "https://gateway.unionpay.com/pay/query";
String resp = HttpClientUtil.post(url, queryParams);
// 需要对 resp 做验签和状态判断
3. 交易冲正与退款接口
对冲正与退款是常见的交易补救手段,核心在于准确识别原交易、确保幂等以及对账可追溯。交易原始订单号、原交易金额、冲正/退款金额、请求时间等字段不可缺失。
实现要点包括:是否允许多次冲正、冲正/退款的上限、以及对接方的时间窗口,确保冲正行为不会引发新的争议。
在回调与结果处理阶段,务必对返回结果进行验签、对比原交易信息并更新状态机。
// 示例:退款请求简化流程
Map<String, String> refundParams = new TreeMap<>();
refundParams.put("merchantId", "");
refundParams.put("orderId", "");
refundParams.put("refundAmount", "500");
refundParams.put("originalTxnTime", "");
String sign = SignUtil.signParams(refundParams, privateKey);
refundParams.put("signature", sign);
String url = "https://gateway.unionpay.com/pay/refund";
String resp = HttpClientUtil.post(url, refundParams);
4. 对账与对账单下载
对账是商户日常运营的重要环节,需实现定时下载对账单、对账文件的解析、以及与本地账务系统的对比。对账文件格式、下载频率、字段映射是实现的关键。
在实现时,建议为对账过程设计幂等处理、错误重试、状态持久化,以保障夜间批处理的可靠性。 对账异常的告警与人工干预机制也应在上线阶段就明确。
此外,确保回传的对账记录带有足够的可追溯性,包含交易流水、时间戳、校验码等字段,便于日后对账纠纷的定位。
三、安全要点与签名机制
1. 证书与私钥管理
银联对接的核心在于证书链的正确加载与私钥的安全存储,私钥应采用硬件安全模块(HSM)或受控的密钥管理系统(KMS)进行托管。
在代码层,私钥不应硬编码在应用内,证书轮换要有自动化流程,并且要对证书有效期进行监控。
此外,证书信任链的完整性和 CA 的信任策略需要与银联对接方保持一致,以避免验签失败。
2. 数据传输的加密与验签
传输层应通过 TLS1.2+,并要求禁用过时协议和弱加密算法,确保敏感参数在传输中的机密性。
签名机制是防篡改的第一道防线。对所有请求参数进行排序、拼接后签名、以及对回调进行二次验签,可有效防止重放与伪造。
在验签环节,请确保使用相同的字符集和编码方式,防止签名错位,同时对异常签名进行日志记录与告警。
3. 回调验签与幂等性处理
回调通知是交易状态的重要入口,应对回调信息进行验签、字段一致性校验与幂等处理,避免重复记账。
实现中可采用如下策略:将回调中的唯一标识与本地流水比对,若已处理则直接返回成功,若未处理则进入正式的状态变更流程并写入持久化日志。
四、前后端对接的注意事项
1. 前端发起支付的安全渠道
前端触发支付时,尽量通过后端中转实现支付参数的拼装与签名,避免将敏感信息暴露在前端,同时确保回调地址的可达性与域名的一致性。
前端应使用HTTPS,阻止中间人劫持与劫持参数,并通过严格的输入校验减少注入风险。
对于需要跳转至银联网关的场景,应在客户端对跳转路径进行校验,确保跳转目标的可信度。
2. 服务端签名与证书轮换
服务端统一签名逻辑、参数校验和验签流程,避免前后端对接口不一致导致的签名失败。证书轮换阶段应制定回滚策略与兼容性测试计划。
在部署层面,建议引入配置中心和密钥版本号,确保新证书上线时可以平滑切换,对旧版本证书的逐步下线要有明确计划。
3. 错误码与容错处理
银联支付的错误码需要在本地系统中建立映射表,及时上报、重试策略、限流与降级处理,避免用户体验被长时间卡顿影响。
在回退方案方面,记录失败原因、重试间隔和最大重试次数,确保在网络波动时仍能保障交易完整性。
五、实战代码示例
1. Java 接入示例:构造请求、签名、验签
以下代码展示了一个典型的 Java 实现要点,包括参数整理、签名、以及验签的逻辑。核心在于正确的参数排序、签名算法选择与证书加载。
在实际落地时,应将签名和验签逻辑封装为独立的工具类,以便复用与单元测试。
// Java 示例:参数签名与验签封装(简化版)
public class UnionPayClient {
private PrivateKey privateKey;
private PublicKey publicKey;
public UnionPayClient(PrivateKey pk, PublicKey pub) {
this.privateKey = pk;
this.publicKey = pub;
}
public String signParams(Map<String, String> params) {
// 1) 排序并拼接参数
String data = SignatureUtil.buildDataToSign(params);
// 2) 使用私钥签名
return SignatureUtil.sign(data, privateKey);
}
public boolean verifySign(Map<String, String> params, String signature) {
String data = SignatureUtil.buildDataToSign(params);
return SignatureUtil.verify(data, signature, publicKey);
}
// 发送请求的简化方法(伪代码)
public String postToGateway(String url, Map<String, String> params) {
String sig = signParams(params);
params.put("signature", sig);
return HttpClientUtil.post(url, params);
}
}
2. Java 调用银联支付网关
见解与注意点在于:统一的请求构造、统一的错误处理、以及对网关响应的验签。如下示例展示了一个典型的网关调用流程。
请将以下示例作为骨架,结合实际的网关参数表和返回格式进行实现。
// 调用网关的简要示例(伪代码)
public class PaymentService {
private UnionPayClient client;
private String gatewayUrl = "https://gateway.unionpay.com/pay";
public String initiatePayment(Order order) {
Map<String, String> payload = new TreeMap<>();
payload.put("merchantId", "");
payload.put("orderId", order.getId());
payload.put("amount", String.valueOf(order.getAmount()));
payload.put("currency", "156");
payload.put("notifyUrl", order.getNotifyUrl());
String resp = client.postToGateway(gatewayUrl, payload);
// 解析 resp,处理后续逻辑
return resp;
}
}
3. 回调处理与日志记录
回调通知是对接的关键入口,应严格验签、校验时间戳与交易状态、并对关键字段进行对比。
实现时应设计完整的日志策略,记录交易ID、订单号、状态、回调时间、验签结果等信息,方便日后追踪与对账。
以下是回调处理的简化要点:验签通过 -> 业务状态更新 -> 持久化日志,若验签失败则记录并返回错误码。
// 回调处理简化示例
public void handleCallback(Map<String, String> callbackParams) {
String signature = callbackParams.remove("signature");
boolean ok = unionPayClient.verifySign(callbackParams, signature);
if (!ok) {
log.warn("Callback验签失败: {}", callbackParams);
respondWithError();
return;
}
String orderId = callbackParams.get("orderId");
String status = callbackParams.get("status");
// 幂等性检查
if (orderService.isProcessed(orderId)) {
respondWithSuccess();
return;
}
// 业务处理
orderService.updateStatus(orderId, status);
log.info("Callback处理完成: orderId={}, status={}", orderId, status);
respondWithSuccess();
}
