配置并获取商户appId、证书、v3密钥、证书序列号等

官方有接入指引，按照要求申请即可顺利获取：https://pay.weixin.qq.com/index.php/core/cert/api_cert#/api-cert-manage

申请商户证书.png

appid: wx*******************
v3密钥：GM****************************
商户号：16******************
证书序列号：12*********************************

composer安装wechatpay官方推荐sdk

官方仓库：https://github.com/wechatpay-apiv3/wechatpay-php/tree/main
进入项目目录，并运行安装命令：

cd path_to_project/tp8
composer require wechatpay/wechatpay

下载微信官方公钥证书：

注意：前面下载的证书对是商户自己的，这里需要使用官方工具才能下载微信的公钥证书，用于返回数据的验证签名

cd path_to_project/tp8
# 查看使用帮助
php vendor/bin/CertificateDownloader.php -V

Usage: 微信支付平台证书下载工具 [-hV]
-f=<privateKeyFilePath> -k=<apiV3key> -m=<merchantId>
-s=<serialNo> -o=[outputFilePath] -u=[baseUri]
Options:
-m, --mchid=<merchantId> 商户号
-s, --serialno=<serialNo> 商户证书的序列号
-f, --privatekey=<privateKeyFilePath>
商户的私钥文件
-k, --key=<apiV3key> ApiV3Key
-o, --output=[outputFilePath]
下载成功后保存证书的路径，可选参数，默认为临时文件目录夹
-u, --baseuri=[baseUri] 接入点，默认为 https://api.mch.weixin.qq.com/
-V, --version Print version information and exit.
-h, --help Show this help message and exit.
带上参数执行命令，获取微信公钥证书：

cd path_to_project/tp8
# 这里要带上前面申请的证书相对路径及v3密钥，商户号，序列号等参数
# php vendor/bin/CertificateDownloader.php -k ${apiV3key} -m ${mchId} -f ${mchPrivateKeyFilePath} -s ${mchSerialNo} -o ${outputFilePath}
php vendor/bin/CertificateDownloader.php -m 16****************** -f "certs/apiclient_key.pem" -k "GM****************************" -s "12*********************************" -o "certs/"

如果提示报错：

• Trying [240e:e1:aa00:4000::94]:443...
• Connected to api.mch.weixin.qq.com (240e:e1:aa00:4000::94) port 443
• ALPN: curl offers http/1.1
• SSL certificate problem: unable to get local issuer certificate
• Closing connection
  cURL error 60: SSL certificate problem: unable to get local issuer certificate (see https://curl.haxx.se/libcurl/c/libcurl-errors.html) for https://api.mch.weixin.qq.com/v3/certificates
  需要进入到vendor/guzzlehttp/guzzle/src/Client.php，修改配置:

private function configureDefaults(array $config): void {
        $defaults = [
            'allow_redirects' => RedirectMiddleware::$defaultSettings,
            'http_errors' => true,
            'decode_content' => true,
           // verify = ture 修改成 false，等证书下载完成再改回来
            'verify' => false, 
            'cookies' => false,
            'idn_conversion' => false,
        ];
...
}

再次执行命令：

php vendor/bin/CertificateDownloader.php -m 16****************** -f "certs/apiclient_key.pem" -k "GM****************************" -s "12*********************************" -o "certs/"

下载微信公钥证书.png

集成到thinkphp8

1、 在app\model目录下新建WxpayModel.php

<?php
namespace app\model;
use WeChatPay\Builder;
use WeChatPay\Crypto\Rsa;
use WeChatPay\Util\PemUtil;

class WxpayModel {
    // 设置参数

    public function Pay() {
        // 商户号
        $merchantId = '1***********************';

        // 从本地文件中加载「商户API私钥」，「商户API私钥」会用来生成请求的签名  // 商户私钥，用来发送数据签名
        $merchantPrivateKeyFilePath = 'file://D:/projects/tp8/certs/apiclient_key.pem';
        $merchantPrivateKeyInstance = Rsa::from($merchantPrivateKeyFilePath, Rsa::KEY_TYPE_PRIVATE);

        // 「商户API证书」的「证书序列号」
        $merchantCertificateSerial = '1**********************************************************';

        // 从本地文件中加载「微信支付平台证书」，用来验证微信支付应答的签名  // 微信公钥，用来验证返回数据的签名
        $platformCertificateFilePath = 'file://D:/projects/tp8/certs/cert.pem';
        $platformPublicKeyInstance = Rsa::from($platformCertificateFilePath, Rsa::KEY_TYPE_PUBLIC);

        // 从「微信支付平台证书」中获取「证书序列号」
        $platformCertificateSerial = PemUtil::parseCertificateSerialNo($platformCertificateFilePath);

        // 构造一个 APIv3 客户端实例
        $instance = Builder::factory([
            'mchid' => $merchantId,
            'serial' => $merchantCertificateSerial,
            'privateKey' => $merchantPrivateKeyInstance,
            'certs' => [
                $platformCertificateSerial => $platformPublicKeyInstance,
            ],
        ]);

        try {
            $resp = $instance
                ->chain('v3/pay/transactions/native') // 这里使用的native支付，其它接口参考官方文档，如jsapi
                ->post(['json' => [
                    'mchid' => '1**************',
                    'out_trade_no' => 'native12177525012014070332333',
                    'appid' => 'wx*******************',
                    'description' => 'Image形象店-深圳腾大-QQ公仔',
                    'notify_url' => 'https://weixin.qq.com/',
                    'amount' => [
                        'total' => 1,
                        'currency' => 'CNY',
                    ],
                ]]);

            echo $resp->getStatusCode(), PHP_EOL;
            echo $resp->getBody(), PHP_EOL;
        } catch (\Exception $e) {
            // 进行错误处理
            echo $e->getMessage(), PHP_EOL;
            if ($e instanceof \GuzzleHttp\Exception\RequestException  && $e->hasResponse()) {
                $r = $e->getResponse();
                echo $r->getStatusCode() . ' ' . $r->getReasonPhrase(), PHP_EOL;
                echo $r->getBody(), PHP_EOL, PHP_EOL, PHP_EOL;
            }
            echo $e->getTraceAsString(), PHP_EOL;
        }
    }
}

2、 到app\controllers目录下Index.php添加测试唤起

<?php
namespace app\controller;
use app\model\WxpayModel;
class Index {
    public function index() {
        $wxpayModel = new WxpayModel();
    $wxpayModel->pay();
    }
}

浏览器访问项目http://localhost/index/index.html
正解返回支付链接：

{"code_url":"weixin://wxpay/bizpayurl?pr=gUTJqa5zz"}

至此，demo通了。

3. 回调通知处理

使用微信公钥对接口数据进行签名验证：
官方文档有步骤说明：

1. 从请求头部Headers，拿到Wechatpay-Signature、Wechatpay-Nonce、Wechatpay-Timestamp、Wechatpay-Serial及Request-ID，商户侧Web解决方案可能有差异，请求头可能大小写不敏感，请根据自身应用来定；
2. 获取请求body体的JSON纯文本；
3. 检查通知消息头标记的Wechatpay-Timestamp偏移量是否在5分钟之内；
4. 调用SDK内置方法，构造验签名串然后经Rsa::verfify验签；
5. 消息体需要解密的，调用SDK内置方法解密；
6. 如遇到问题，请拿Request-ID联系官方在线技术支持；

use WeChatPay\Crypto\Rsa;
use WeChatPay\Crypto\AesGcm;
use WeChatPay\Formatter;
use \think\facade\App;

// 提取需要的头部信息
$inWechatpaySignature = isset($_SERVER['HTTP_WECHATPAY_SIGNATURE']) ? $_SERVER['HTTP_WECHATPAY_SIGNATURE'] : '';
$inWechatpayTimestamp = isset($_SERVER['HTTP_WECHATPAY_TIMESTAMP']) ? $_SERVER['HTTP_WECHATPAY_TIMESTAMP'] : '';
$inWechatpaySerial = isset($_SERVER['HTTP_WECHATPAY_SERIAL']) ? $_SERVER['HTTP_WECHATPAY_SERIAL'] : '';
$inWechatpayNonce = isset($_SERVER['HTTP_WECHATPAY_NONCE']) ? $_SERVER['HTTP_WECHATPAY_NONCE'] : '';
// 还有一个request_id，主要用于技术支持，如果没问题，就不需要
// 这里要重点注意：获取请求`body`体的`JSON`纯文本，不能使用thinkphp框架的方法input()、$_POST、$_GET等
$inBody =  file_get_contents('php://input');
$apiv3Key = 'Dg56*************************';// 在商户平台上设置的APIv3密钥
// 获取应用实例
$app = app();
// 这里使用微信平台的公钥进行验签，如果数据库存的是文件路径：
// $platformPublicKeyInstance = Rsa::from('file://' . $app->getRootPath() . $config['provider_public_key'], Rsa::KEY_TYPE_PUBLIC);
// 这里使用微信平台的公钥进行验签，如果数据库存的是公钥串：
$platformPublicKeyInstance = Rsa::from($config['provider_public_key'], Rsa::KEY_TYPE_PUBLIC);

// 检查通知时间偏移量，允许5分钟之内的偏移
$timeOffsetStatus = 300 >= abs(Formatter::timestamp() - (int)$inWechatpayTimestamp);
$verifiedStatus = Rsa::verify(
    // 构造验签名串
    Formatter::joinedByLineFeed($inWechatpayTimestamp, $inWechatpayNonce, $inBody),
    $inWechatpaySignature,
    $platformPublicKeyInstance
);
if ($timeOffsetStatus && $verifiedStatus) {
    // 转换通知的JSON文本消息为PHP Array数组
    $inBodyArray = (array)json_decode($inBody, true);
    $inBodyArray = json_decode($inBody, true);
    $ciphertext = $inBodyArray['resource']['ciphertext'];
    $nonce = $inBodyArray['resource']['nonce'];
    $aad = $inBodyArray['resource']['associated_data'];
    // 加密文本消息解密
    $inBodyResource = AesGcm::decrypt($ciphertext, $apiv3Key, $nonce, $aad);
    // 把解密后的文本转换为PHP Array数组
    $inBodyResourceArray = (array)json_decode($inBodyResource, true);
    // print_r($inBodyResourceArray);// 打印解密后的结果
    return ['status' => true, 'data' => $inBodyResourceArray];
} else {
    return ['status' => false, 'data' => []];
}

重点注意：获取请求body体的JSON纯文本，不能使用thinkphp框架的方法input()、$_POST、$_GET等

最后根据验证签名的结果和解密出的数据执行后续操作即可。