B2C电商的支付，一般由于支付金额比较小，支付比较频繁，所以一般采用第三方支付，常用的第三方支付有：支付宝、微信、易宝支付等。他们的原理都差不多。都是在点击支付时，直接调用第三方支付接口，传入appid、appsecret、订单编号、订单金额、回调url，直接跳转到第三方支付页面，接下来的支付过程，我们都不需要管，支付成功以后，第三方支付平台会直接回调我们的url。给我们返回：状态码、订单编号、支付流水号三个参数。我们首先根据订单编号，找到我们的订单，把支付流水号和状态码更新到我们的订单里边。回调url，一般有两种，一种用同步get方法回调，一种用异步的类似ajax方法回调，同步方法回调，一般是成功以后才会回调，并且只回调一次，回调成功以后我们可以直接跳转到我们的支付成功页面、异步方法回调，一般要求我们返回一个success字符串，第三方平台如果没有接受到success，就会认为没有调用成功，他会重复多次调用。比如支付宝会在25小时之内，调用8次；一般情况下第三方支付都采用第二种方式，因为比较安全，但支付宝是同时采用了两种。
我之前接触过一个B2B的电商，他们由于交易金额比较大，第三方支付无法实现，所以是直接和银行对接。大体上是，首先平台和银行签订合同，银行为平台开设一个总账号，当企业在平台注册以后，平台会为企业调用银行接口，创建一个子账号，这个子张号是挂在总账号下边的，也是一个在银行实际存在的账号，但是，只能通过外部银行卡给里边转账，而不能给外部银行卡转出。可以在子行号直接互相转账。
微信扫描支付
1、商户系统根据用户选择的商品生成订单（此步骤不分析）
2、用户确认支付后根据微信【统一下单API】，向微信支付系统发出请求（我们通过httpclient方式请求的）
分析：商户确认支付即点击“结算”按钮跳转到收银台，然后在点击微信支付时，会调用商户系统后台，后台做处理准备微信需要的参数，然后通过httpclient调用微信的【统一下单API：https://api.mch.weixin.qq.com/pay/unifiedorder】，其中需要准备的主要参数：
appid（公众号ID），String（32），微信支付分配的公众号ID
商户号（mch_id），String（32），微信支付分配的商户号
随机字符串（nonce_str），String（32），随机字符串，主要是为了保证签名不可预测
签名（sign），String（32），通过签名算法得到的签名值，签名算法大致为：需要参与的字段包含公众号、商户号、随机字符串、一些其他字段，最重要是key（在微信支付系统中配置的**），然后这些字段格式为：key1=value1&key2=value2…，然后把这个字符串通过MD5加密并把加密结果转成大写。
商户订单号（out_trade_no），String（32），商户系统内部订单号，我们系统用的是交易流水号（订单号-商户号-时间戳）
标价金额（total_fee），int，订单总金额，单位为分，不能带小数点
通知地址（notify_url），String（256），异步接收微信支付结果通知的回调地址，必须为外网能访问的URL，不能带参数
交易类型（trade_type），String（16），JSAPI–公众号支付、NATIVE–原生扫码支付、APP–app支付，我们用的是NATIVE
3、微信支付系统收到请求后，先生成预支付订单，然后给商户系统返回二维码连接
4、商户系统拿到返回值字符串，转换成对象，然后取出二维码连接生成二维码
5、用户通过微信“扫一扫”功能扫描二维码，微信客户端将扫码内容发送到微信支付系统
6、微信支付系统接收到支付请求，验证链接有效性后发起支付，请求客户确认，然后我们的微 信端就会弹出需要确认支付的页面
7、用户输入密码，确认支付并提交授权
8、微信支付系统根据用户授权完成交易
9、微信支付系统支付成功后向微信客户端返回交易结果，并将交易结果通过短信、微信提示用户
10、微信支付系统通过发送异步消息通知商户系统后台支付结果，商户系统需回复接收情况，通 知微信支付系统不再发送该单的通知
接收到微信的支付完成回调请求，微信支付系统会传过来一个字符串，格式是xlm的我们将其转换成map格式，然后验证一些主要参数，return_code和result_code均 为success；公众号，商户id不为空；对签名进行验证，防止数据泄漏，验证方法是将返回集解析出来，然后重新按照签名规则生成签名，将两个新旧签名比较，如果相同则验证通过；以上验证全部通过则认为威信支付系统支付成功，接下来处理商户系统。
商户系统也需要验证一些支付异常情况，订单已取消的支付成功了；订单已经支付了，重复支付；订单金额不一致，支付金额与订单金额不一致；以上均为异常支付，需要退款。如果无异常支付，则更新本地数据。另外商户系统在进行上述验证及更新操作时，需将此段代码加锁，因为微信支付系统在与商户系统交互时，如果微信收到的用户应答不是成功或超时，则认为微信通知失败，则微信会重新发起通知，通知频率为：通知频率为：15/15/30/180/1800/1800/1800/1800/3600，单位：秒
11、未收到支付通知的情况，商户系统可调用【查询订单APP】
12、商户确认订单已经支付后给用户发货
支付宝支付：
一、流程：
1、用户请求支付，调用我方接口，我方根据订单信息和商品信息构造符合支付宝要求的请求参数（请求参数中具有一个我方的回调地址，当支付成功的时候，支付宝会回调这个接口）去请求一个支付二维码（可设置支付二维码的过期时间）。我方将支付二维码持久化到图片服务器，然后图片地址给前端，让前端展示给用户。
2、剩下这一步就是用户和支付宝的交互了。用户支付成功后，支付宝回调我们的接口，我们的接口开始去更新订单状态，写支付信息到我们的数据库中，如此一个完整的支付场景就完成了。支付宝会根据我们返回的值，判断这次交易是否成功，不成功则不扣钱。
二、难点
1、如何确保是支付宝回调的我们的接口？
如果是被恶意的第三方调用我们的接口，并且通过了将订单状态更新了，那么就相当于我们形成了损失。
支付宝自身提供了一套校验机制（这套校验机制是怎么做的，值得学习），我们可以通过调用支付宝的校验接口去校验回调是否来自支付宝。
2、如何保证幂等性？
如果是因为网络原因、用户多次点击。那么要保证这些操作造成的结果是一致的。
我的处理方案：先去数据库中查询状态，如果状态是订单已支付，那么返回支付已完成的消息，否则去更新订单信息。
缺点：如果正在更新状态，一个请求又过来了，那么还是不能保证幂等性。
改进：使用一个全局分布式锁，每次要进行这个操作（其中还是有查询状态这个操作），去持有这个分布式锁，执行成功之后去释放这个分布式锁（这是为了避免高并发带来的问题）。