支付宝小程序后端接口必须严格返回纯json或指定字符串,禁用bom/空格/额外输出;私钥需pkcs#1格式;回调须原样返回"success";oauth请求需降级http/1.1;所有响应前清缓冲并设utf-8头。
支付宝小程序后端接口必须用 json_encode 输出,且不能有额外输出
支付宝小程序的后端接口(比如 /api/pay/notify 或 /api/user/info)要求响应体是纯 JSON,HTTP 状态码为 200,且**不能有任何空格、BOM、echo/print/Warning 输出**。PHP 8.5 默认开启 output_buffering,但开发时容易因调试残留 var_dump、未关闭的错误报告或 UTF-8 BOM 导致验签失败。
- 确保入口文件顶部加
if (function_exists('mb_internal_encoding')) mb_internal_encoding('UTF-8');,避免中文乱码引发签名不一致 - 所有响应前调用
ob_end_clean()清空缓冲区,再header('Content-Type: application/json; charset=utf-8') - 用
json_encode($data, JSON_UNESCAPED_UNICODE | JSON_THROW_ON_ERROR),捕获编码异常而非静默返回null - 支付宝回调接口(如支付结果通知)必须原样返回字符串
"success"(小写,无空格、无换行),否则支付宝会重试
支付宝 SDK 不兼容 PHP 8.5 的 openssl_sign 签名方式
官方 PHP SDK(v3.x)底层用 openssl_sign 生成 RSA 签名,但在 PHP 8.5 中该函数对私钥格式更严格:若私钥含密码、使用 PKCS#8 加密格式或开头是 -----BEGIN ENCRYPTED PRIVATE KEY-----,会直接报 openssl_sign(): supplied key param cannot be coerced into a private key。
- 支付宝要求的是 PKCS#1 格式私钥(
-----BEGIN RSA PRIVATE KEY-----),可用openssl rsa -in app_private_key.pem -out app_private_key_pkcs1.pem转换 - 不要在代码里用
file_get_contents直接读取私钥后传给 SDK —— SDK 内部会重复解析,PHP 8.5 下易触发资源泄漏;应提前用openssl_pkey_get_private解析并缓存资源句柄 - 验签时同理,支付宝公钥也必须是 PEM 格式(
-----BEGIN PUBLIC KEY-----),不能是 DER 或 base64 raw key
AlipayTradeAppPayRequest 在 PHP 8.5 下需手动设置 notify_url 和 return_url
支付宝 App 支付接口(alipay.trade.app.pay)返回的是加密字符串,不是 JSON。很多开发者误以为能直接 json_decode,其实它要原样透传给客户端的 AlipaySDK。PHP 8.5 的类型推导会让 SDK 中某些动态属性赋值失败,尤其当 notify_url 没显式设置时,SDK 可能跳过 URL 编码导致支付宝服务端解析出错。
-
notify_url必须是公网可访问的 HTTPS 地址(支付宝只支持 HTTPS 回调),且路径不能带 query 参数(如https://a.com/callback?app=ali❌),应写成https://a.com/callback✅ -
return_url是同步跳转地址,仅用于网页唤起支付后跳转,支付宝小程序里实际不生效,但字段仍需传,可填一个空的 HTTPS 页面(如https://a.com/return) - 构造请求对象后,务必调用
$request->setNotifyUrl($notify_url)和$request->setReturnUrl($return_url),不能只靠数组参数传入
支付宝小程序登录态校验:别用 $_GET['authCode'] 直接换 token
小程序前端调 my.getAuthCode 后传来的 authCode 是单次有效的临时码,PHP 后端要用它向支付宝网关发起 alipay.system.oauth.token 请求换 access_token。但 PHP 8.5 的 cURL 默认启用 HTTP/2,而支付宝 OAuth 接口目前不支持 HTTP/2 连接,会导致 cURL error 16: Error in the HTTP2 framing layer。
立即学习“PHP免费学习笔记(深入)”;
- 调用 SDK 的
execute方法前,强制降级到 HTTP/1.1:$client->setHttpProtocolVersion('1.1')(如果 SDK 支持);否则需改用原生 cURL 并设CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1 -
authCode有效期只有 10 分钟,且只能使用一次,换 token 失败后不可重试,需前端重新拉授权 - 换得的
access_token有效期 2 小时,建议存 Redis 并用用户user_id+alipay_user_id作 key,避免多个设备登录冲突
invalid-signature 反复出现。这些点 PHP 8.5 没加重,但收紧了容错,得一个个亲手掐掉。 
