在微信中，使用支付宝在线支付时，需要跳转至系统浏览器中，用户登录状态的丢失的解决方案

1、现有的实现，一个接口，是在微信中获取支付宝的支付链接（需要登录），还有一个回调接口（需要验签），还有一个查询接口（需要登录）。现在由于支付在线支付只能够在系统浏览器中进行，那么查询接口需要设置为游客可访问。为了保证安全性，决定做一个签名认证

2、在获取支付链接的接口中，如下实现

<?php

namespace api\helpers;

class AlipayQuerySignerHelper
{
    /**
     * 获取签名
     *
     * @param array $data 待签名数据（键值对）
     * @param string $secret 签名密钥
     * @return string 返回签名字符串
     */
    public static function sign(array $data, string $secret): string
    {
        // 确保按 key 升序排列，签名一致
        ksort($data);

        // 拼接成 key=value&key2=value2 的格式
        $queryString = http_build_query($data, '', '&', PHP_QUERY_RFC3986);

        // 生成签名
        return hash_hmac('sha256', $queryString, $secret);
    }

    /**
     * 验证签名
     *
     * @param array $data 待验证的数据（必须包含 query_sign 字段）
     * @param string $secret 签名密钥
     * @param int $timeout 签名超时时间（默认 600 秒）
     * @return bool
     */
    public static function verify(array $data, string $secret, int $timeout = 6000): bool
    {
        if (!isset($data['query_sign'], $data['query_timestamp'])) {
            return false;
        }

        // 判断时间是否超出容忍范围（默认 ±5 分钟）
        if (abs(time() - $data['query_timestamp']) > $timeout) {
            return false;
        }

        $providedSign = $data['query_sign'];
        unset($data['query_sign']);

        $expectedSign = self::sign($data, $secret);

        return hash_equals($expectedSign, $providedSign);
    }
}

$payload = [
	'query_order_id' => $order->id,
	'query_user_id' => $order->user_id,
	'query_timestamp' => time(),
];

$secret = Yii::$app->params['alipayQuerySignatureKey'];

$sign = AlipayQuerySignerHelper::sign($payload, $secret);

$query = array_merge($payload, ['query_sign' => $sign]);

$queryString = http_build_query($query);

$returnUrl = Yii::$app->params['frontendDomainHttps'] . '/convention/#/pages/ticket_payment_result/ticket_payment_result?convention_id=' . $ticketOrder->convention_id . '&ticket_id=' . $ticketOrder->id . '&_version=2&' . $queryString;

3、在查询接口中如下实现，接口响应，如图1

图1

        $params = Yii::$app->request->post();
        $secret = Yii::$app->params['alipayQuerySignatureKey'];

        if (!AlipayQuerySignerHelper::verify($params, $secret)) {
            return [
                'code' => 10010,
                'message' => '签名验证失败',
            ];
        }

//        if (strcmp($order->user_id, Yii::$app->user->id) != 0) {
//            return [
//                'code' => 10008,
//                'message' => '您没权限进行该操作',
//            ];
//        }