在调用支付网关API时,如果预期获得JSON数据却收到了HTML内容,这通常是由于HTTP 302重定向引起的。本教程将深入解析cURL默认自动跟随重定向的行为如何导致此问题,并提供禁用`CURLOPT_FOLLOWLOCATION`、手动提取`Location`头中的重定向URI,以及引导客户端进行正确跳转的PHP解决方案,确保API集成顺利进行。
深入理解HTTP 302重定向与cURL的行为
在与外部API,特别是支付网关集成时,我们经常期望得到结构化的数据(如JSON或XML)。然而,有时API的响应却出乎意料地返回了HTML内容。这种现象在支付场景中尤其常见,其根源通常在于HTTP 302“Found”状态码。
HTTP 302状态码表示资源暂时移动到了一个新的URI。服务器会通过响应头中的Location字段告知客户端新的URI。对于支付网关而言,这意味着API在接收到订单请求后,不会直接返回最终的JSON结果,而是发出一个302重定向,其Location头指向用户需要跳转到的支付摘要页面(通常是HTML页面)。
cURL库在处理HTTP请求时,默认行为是自动跟随重定向。这是通过CURLOPT_FOLLOWLOCATION => true(默认值)实现的。当cURL接收到302响应时,它会透明地向Location头中指定的URI发起新的请求,并返回新请求的响应内容。如果这个新的URI指向的是一个HTML页面,那么curl_exec()最终返回的便是该HTML页面的内容,而非我们期望的原始API的JSON响应。支付网关的文档中通常会明确指出这种行为,例如:“响应的HTTP状态码为302,并且Location头被设置为redirectUri,这可能会触发自动重定向以及接收HTML格式的响应。”
立即学习“PHP免费学习笔记(深入)”;
解决方案:禁用cURL的自动重定向
要解决这个问题,核心思路是阻止cURL自动跟随302重定向。这可以通过将CURLOPT_FOLLOWLOCATION选项设置为false来实现:
CURLOPT_FOLLOWLOCATION => false
当此选项设置为false时,curl_exec()在收到302响应时将不再自动发起新的请求,而是直接返回原始的302响应。此时,我们可以访问到完整的HTTP响应头,包括包含重定向目标URL的Location字段。
提取重定向URI并引导客户端跳转
禁用自动重定向后,我们需要手动从响应头中提取redirectUri。为了能够获取响应头,我们还需要设置CURLOPT_HEADER => true。
后端(PHP)的职责是:
- 发起API请求。
- 接收到302响应后,从响应头中解析出Location字段的值,即redirectUri。
- 将这个redirectUri作为JSON响应的一部分返回给前端。
前端(如Angular)的职责是:
- 接收到后端返回的包含redirectUri的JSON响应。
- 使用该redirectUri在浏览器中执行实际的页面跳转,将用户引导至支付网关的支付页面。
示例代码:正确处理支付网关API调用
以下是基于原始问题代码的修改版本,展示了如何正确处理支付网关API的302重定向,并提取redirectUri供前端使用:
get_params() 返回一个包含 'order' 和 'token' 键的数组
$params = $data->get_params();
$orderData = $params['order'];
$token = $params['token'];
// 添加客户IP和生成外部订单ID
$orderData['customerIp'] = $_SERVER['REMOTE_ADDR'];
$orderData['extOrderId'] = generateRandomString();
$postdata = json_encode($orderData);
curl_setopt_array($curl, array(
CURLOPT_URL => 'https://secure.snd.payu.com/api/v2_1/orders',
CURLOPT_RETURNTRANSFER => true, // 返回传输的内容,而不是直接输出
CURLOPT_ENCODING => '', // 处理所有编码
CURLOPT_MAXREDIRS => 10, // 最大重定向次数 (在此场景下不重要,因为我们禁用了跟随)
CURLOPT_TIMEOUT => 30, // 设置合理的超时时间,单位秒
CURLOPT_HEADER => true, // 关键:获取响应头
CURLOPT_FOLLOWLOCATION => false, // 关键:不自动跟随重定向
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'POST',
CURLOPT_POSTFIELDS => $postdata,
CURLOPT_HTTPHEADER => array(
'Content-Type: application/json',
'Authorization: Bearer ' . $token
),
));
$response = curl_exec($curl);
$httpCode = curl_getinfo($curl, CURLINFO_HTTP_CODE); // 获取HTTP状态码
$headerSize = curl_getinfo($curl, CURLINFO_HEADER_SIZE); // 获取响应头大小
$headers = substr($response, 0, $headerSize); // 提取响应头
$body = substr($response, $headerSize); // 提取响应体
// 检查cURL执行是否出错
if (curl_errno($curl)) {
$error_msg = curl_error($curl);
curl_close($curl);
return rest_ensure_response(array(
'status' => 'ERROR',
'message' => 'cURL error: ' . $error_msg
), 500);
}
curl_close($curl);
$redirectUri = null;
// 如果是302重定向,则解析Location头
if ($httpCode == 302) {
$headerLines = explode("\r\n", $headers);
foreach ($headerLines as $line) {
if (stripos($line, 'Location:') === 0) {
$redirectUri = trim(substr($line, strlen('Location:')));
break;
}
}
if ($redirectUri) {
// 成功获取到重定向URI,返回给前端
return rest_ensure_response(array(
'status' => 'SUCCESS',
'redirectUri' => $redirectUri,
'message' => 'Redirect URI obtained successfully.'
));
} else {
// 302状态码但未找到Location头
return rest_ensure_response(array(
'status' => 'ERROR',
'message' => 'API returned 302 but no Location header found.',
'http_code' => $httpCode,
'response_headers' => $headers // 调试用
), 500);
}
} else if ($httpCode == 200) {
// 如果API直接返回200 OK,并且期望是JSON
$decodedBody = json_decode($body, true);
if (json_last_error() === JSON_ERROR_NONE) {
// 成功解析JSON,直接返回
return rest_ensure_response($decodedBody);
} else {
// 200 OK 但响应体不是有效的JSON或为空
return rest_ensure_response(array(
'status' => 'ERROR',
'message' => 'API returned 200 OK but response body is not valid JSON or empty.',
'response_body' => $body // 调试用
), 500);
}
} else {
// 处理其他HTTP状态码(例如4xx, 5xx)
return rest_ensure_response(array(
'status' => 'ERROR',
'message' => 'API call failed or returned an unexpected HTTP status code.',
'http_code' => $httpCode,
'response_body' => $body // 调试用
), $httpCode >= 400 ? $httpCode : 500);
}
}
// 示例用法 (假设 $data 是一个模拟对象)
/*
class MockData {
public function get_params() {
return [
'order' => [
'description' => 'Test Order',
'totalAmount' => '10000', // 100.00 PLN
'currencyCode' => 'PLN',
'buyer' => [
'email' => 'john.doe@example.com'
]
],
'token' => 'YOUR_PAYU_ACCESS_TOKEN' // 替换为你的实际访问令牌
];
}
}
$mockData = new MockData();
callPaymentGatewayApi($mockData);
*/
?>代码说明:
- CURLOPT_HEADER => true: 确保curl_exec()返回的响应中包含HTTP响应头,这对于我们解析Location字段至关重要。
- CURLOPT_FOLLOWLOCATION => false: 核心改动,阻止cURL自动跟随重定向。
- 解析响应: curl_exec()返回的是一个包含头和体的字符串。我们使用curl_getinfo()获取头部大小 (CURLINFO_HEADER_SIZE) 来分离响应头和响应体。
- 提取Location: 当httpCode为302时,我们手动解析headers字符串,查找以Location:开头的行,并提取其值作为redirectUri。
- 返回给前端: 将获取到的redirectUri封装在一个JSON对象中,并通过rest_ensure_response(在实际WordPress环境中,这将是WP_REST_Response)返回给前端。
- 错误处理: 增加了对cURL错误、非302/200状态码以及JSON解析失败的错误处理,提高了代码的健壮性。
注意事项与最佳实践
- 错误处理与日志记录: 在生产环境中,必须对cURL执行可能出现的错误(如网络问题、API返回非预期状态码、JSON解析失败等)进行全面处理。同时,详细的日志记录对于调试和审计至关重要。
- 超时设置: CURLOPT_TIMEOUT选项应设置为一个合理的数值,防止API响应过慢导致长时间阻塞。
- **
