使用Authorize.net的SDK实现符合PCI标准的支付流程

摘要：标准是为了最大限度保护持卡人数据的一套标准。实现符合标准的支付，有两种方式加载的托管表单使用的托管表单，加载方便，安全性高，但是用户定制程度不高，只能稍微改改表单样式，可以使用自己设计的表单，调用做安全性校验和数据发送接收。

PCI 标准是为了最大限度保护持卡人数据的一套标准。要求很多，可以看 PCI标准 站点了解。对于程序猿来说，要保证的是用户的任何支付信息，都不走自己的服务器，不保存在自己的数据库。

实现符合PCI标准的支付，有两种方式

加载Authorize.net的托管表单

使用AcceptJs

Authorize.net的托管表单，加载方便，安全性高，但是用户定制程度不高，只能稍微改改表单样式，AcceptJs可以使用自己设计的表单，调用AcceptJs做安全性校验和数据发送接收。

沙盒环境账号，可以用来在api文档页面直接调试各种接口，也可以在沙盒里面查看各种扣款记录。

如果项目要上线，请注册生产环境账号，这里全部使用沙盒环境。

下载SDK到项目。

cd /your_php_project_path
composer require authorizenet/authorizenet

再在项目中引入即可（如何引入可以看上面地址的介绍，这里不再重复）。

该项目的GITHUB地址：AuthorizeNet/sdk-php 可以在上面搜索、提出你的issues

使用SDK的php案列：AuthorizeNet/sample-code-php

Authorizenet官方实现的一个符合PCI标准的案列AuthorizeNet/accept-sample-app （这个没有使用SDK）

因为Authorize.net SDK 要求 php: >=5.5 ， 所以只能自己封装api请求了，具体如何封装个人自便，但要说明的一点是，Authorize.net 的api，如果选择的是json格式：

header("Content-type:text/json;charset=utf-8");
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $this->authorizeUrl);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl, CURLOPT_COOKIESESSION, true);
curl_setopt($curl, CURLOPT_HEADER, 0);
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, urldecode($data));
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, 2);
// curl_setopt($curl, CURLOPT_HTTPHEADER,     array("Content-Type: text/plain")); //xml request
curl_setopt($curl, CURLOPT_HTTPHEADER, array("Accept: application/json"));
$result    = curl_exec($curl);
$curlErrno = curl_errno($curl);
$curlError = curl_error($curl);
curl_close($curl);

返回的数据也是JSON格式，but。。。。，这个返回的json数据，是无法用

json_decode($result,true)

来解析的，需要

json_decode(substr($result, 3), true);

来解析。究其原因，应该是它返回的数据带了BOM头，详细请移步 json-decode-returns-null

XML格式我没有去写代码测试，各位有兴趣可以自行测试，也可以在沙盒环境直接测试。

有个直接扣款的API，其中的ORDER参数要有顺序，要有顺序，要有顺序，如果遇到一些API，调试一直报错，但又没有特别的原因，请注意看是否是顺序问题。

需要请求的API : createCustomerProfileRequest
API的详细文档地址：createCustomerProfileRequest
CustomerProfile详细介绍：customer_profiles

该API可以在创建CustomerProfileId 的同时，也创建PaymentProfileId 。但是PaymentProfileId需要的参数都是涉及到用户敏感信息的，按照PCI标准，是不允许商户收集，所以需要使用Authorize.net的托管表单来创建。
所以这一步只简单的传递几个参数即可，使用SDK创建代码：

$customerProfile = new AnetAPICustomerProfileType();
$customerProfile->setDescription("Customer 2 Test PHP");
$customerProfile->setMerchantCustomerId("11211");
$customerProfile->setEmail($post["email"]);
$request = new AnetAPICreateCustomerProfileRequest();
$request->setMerchantAuthentication($this->merchantAuthentication);
$request->setProfile($customerProfile);
$controller = new AnetControllerCreateCustomerProfileController($request);
$response = $controller->executeWithApiResponse(
etauthorizeapiconstantsANetEnvironment::SANDBOX);

需要请求的API : getHostedProfilePageRequest
API的详细文档地址：getHostedProfilePageRequest

用上一步创建的CustomerProfileId $profileId = $response->getCustomerProfileId(); 来获取token

$setting = new AnetAPISettingType();
$setting->setSettingName("hostedProfileIFrameCommunicatorUrl");
$url = Yii::$app->urlManager->createAbsoluteUrl(["authorizenet/special"]);
$setting->setSettingValue($url);
$request = new AnetAPIGetHostedProfilePageRequest();
$request->setMerchantAuthentication($this->merchantAuthentication);
$request->setCustomerProfileId($profileId);
$request->addToHostedProfileSettings($setting);
$controller = new AnetControllerGetHostedProfilePageController($request);
$response = $controller->executeWithApiResponse(

etauthorizeapiconstantsANetEnvironment::SANDBOX);

此时该iframe里面还没有任何东西，需要提交这个form表单才能加载托管表单，这里给一个函数让他页面加载的时候自动提交以加载托管表单。

var button = document.getElementById("submit");
button.click();

我们回到 1.2 申请表单这里，这个API支持设置托管表单的很多属性，比较有用的有 ：

hostedProfileReturnUrl ： 设置托管会话结束(用户点击SAVE)返回给用户的页面 (这里省略)
hostedProfileIFrameCommunicatorUrl : 用来接受、处理Authorize.net响应的页面

上面设置的hostedProfileIFrameCommunicatorUrl的页面为authorizenet/special

function callParentFunction(str) {
    var referrer = document.referrer;
    var s = {qstr : str , parent : referrer};
    if(referrer == "https://test.authorize.net/customer/addPayment"){
        switch(str){
            case "action=successfulSave" :
                window.parent.parent.location.href="https://www.basic.com/authorizenet/payment";
                break;
        }
    }
}

function receiveMessage(event) {
    if (event && event.data) {
        callParentFunction(event.data);
    }
}

if (window.addEventListener) {
    window.addEventListener("message", receiveMessage, false);
} else if (window.attachEvent) {
    window.attachEvent("onmessage", receiveMessage);
}

if (window.location.hash && window.location.hash.length > 1) {
    callParentFunction(window.location.hash.substring(1));
}

这里设置成功保存paymentInfo 信息到Authorize.net之后就跳转到 payment 页面支付。
action有不同的状态，可以根据action作相应的处理。
resizeWindow : 托管表单加载
successfulSave : 表单成功保存（CustomerProfile）
cancel ： 用户点击取消按钮
transactResponse ：支付成功（payment）

需要请求的API : getCustomerProfileRequest
API的详细文档地址：getCustomerProfileRequest

$customer = $this->getCustomerProfile($profileId);
$billTo = end($customer->getProfile()->getPaymentProfiles())->getBillTo();

因为一个CustomerProfi对应多个PaymentProfile ,这里获取最后一个PaymentProfile。

需要请求的API : getHostedPaymentPageRequest
API的详细文档地址：getHostedPaymentPageRequest
请求该URL，可以指定加载表单的样式等各种参数，具体参考：Accept Hosted feature details page

$transactionRequestType = new AnetAPITransactionRequestType();
$transactionRequestType->setTransactionType("authCaptureTransaction");
$transactionRequestType->setAmount("12.23");
$customer = $this->getCustomerProfile(Yii::$app->session->get("profileId"));
$billTo = end($customer->getProfile()->getPaymentProfiles())->getBillTo();

$transactionRequestType->setBillTo($billTo);//回填账单地址
$customer = new AnetAPICustomerDataType();
$customer->setEmail(Yii::$app->session->get("email"));
$customer->setId(Yii::$app->session->get("user_id"));
$transactionRequestType->setCustomer($customer);

$request = new AnetAPIGetHostedPaymentPageRequest();
$request->setMerchantAuthentication($this->merchantAuthentication);
$request->setTransactionRequest($transactionRequestType);
$setting3 = new AnetAPISettingType();
$setting3->setSettingName("hostedPaymentReturnOptions");
$setting3->setSettingValue("{"url": "https://www.basic.com/index.php?r=authorizenet/receipt", "cancelUrl": "https://www.basic.com/index.php?r=authorizenet/cancel", "showReceipt": false}");
$request->addToHostedPaymentSettings($setting3);

//设置托管表单显示email，且必填 （因为form表单没有禁止修改email参数，所以可以设置email但不显示在表单中，以防修改）
$setting4 = new AnetAPISettingType();
$setting4->setSettingName("hostedPaymentCustomerOptions");
$setting4->setSettingValue("{"showEmail": true, "requiredEmail":true}");
$request->addToHostedPaymentSettings($setting4);

$setting6 = new AnetAPISettingType();
$setting6->setSettingName("hostedPaymentIFrameCommunicatorUrl");
$url = Yii::$app->urlManager->createAbsoluteUrl(["authorizenet/special"]);
$setting6->setSettingValue("{"url": "".$url.""}");
$request->addToHostedPaymentSettings($setting6);
$controller = new AnetControllerGetHostedPaymentPageController($request);
$response = $controller->executeWithApiResponse( 
etauthorizeapiconstantsANetEnvironment::SANDBOX);

if (($response != null) && ($response->getMessages()->getResultCode() == "Ok") ) {
   return $response->getToken();
}

    
    我要支付

同 二.1.14 一致，可以设置为同一个页面，通过referrer来判断是完善支付信息表单的响应，还是支付表单的响应
如：

if(referrer == "https://test.authorize.net/customer/addPayment"){
    //your code
}else if(referrer == "https://test.authorize.net/payment/payment"){
    //your code
}else if(other){
    //your code
}

（支付完成后的处理我没做，无非就是弹个窗之类的告诉用户支付成功，再处理后台逻辑之类的）

可以看到，这里只可以回填账单地址、客户电话和email之类的信息。信用卡、信用卡过期时间、信用卡安全码等都无法回填，需要用户再次输入，用户体验非常不好。
所以支付这一步我们可以不用托管表单，使用通过CustomerProfileID发起支付的API来完成

需要请求的API : createTransactionRequest
API的详细文档地址：createTransactionRequest

$paymentprofileid = $this->getCustomerProfile($profileid);
$profileToCharge = new AnetAPICustomerProfilePaymentType();
$profileToCharge->setCustomerProfileId($profileid);
$paymentProfile = new AnetAPIPaymentProfileType();
$paymentProfile->setPaymentProfileId($paymentprofileid);
$profileToCharge->setPaymentProfile($paymentProfile);

$transactionRequestType = new AnetAPITransactionRequestType();
$transactionRequestType->setTransactionType( "authCaptureTransaction");
$transactionRequestType->setAmount(5);
$transactionRequestType->setProfile($profileToCharge);

$request = new AnetAPICreateTransactionRequest();
$request->setMerchantAuthentication($this->merchantAuthentication);
$request->setTransactionRequest( $transactionRequestType);
$controller = new AnetControllerCreateTransactionController($request);
$response = $controller->executeWithApiResponse( 
etauthorizeapiconstantsANetEnvironment::SANDBOX);

托管表单要求你的程序挂载在HTTPS域名下

还可以通过CustomerProfileId、paymentProfileId发起ARB(Auto Recurring Billing)扣款
需要请求的API : ARBCreateSubscriptionRequest
API的详细文档地址：getHostedPaymentPageRequest
关于APB的详细介绍请看：recurring_billing

关于测试请看：testing_guide
可以填写不同的 Zip Code 和 Card Code 来模拟不同的错误返回

(缺)

(缺)

(缺)

缺失的内容请自行参考官方demo。。。。。