Update uni-pay.md

d570387f · VK1688 · e26fe42a · d570387f
隐藏空白更改
内联并排

Showing with 23 addition and 1 deletion

docs/uniCloud/uni-pay.md docs/uniCloud/uni-pay.md +23 -1

未找到文件。
--- a/docs/uniCloud/uni-pay.md
+++ b/docs/uniCloud/uni-pay.md
@@ -818,6 +818,9 @@ module.exports = {
 /**
 * 此处建议只改下订单状态，保证能及时返回给第三方支付服务器成功状态
 * 限制4秒内必须执行完全部的异步回调逻辑，建议将消息发送、返佣、业绩结算等业务逻辑异步处理（如用定时任务去处理这些异步逻辑）
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
 */
 module.exports = async (obj) => {
 	let user_order_success = true;
@@ -829,6 +832,9 @@ module.exports = async (obj) => {
 	} = data; // uni-pay-orders 表内的数据均可获取到

 	// 此处写你自己的支付成功逻辑开始-----------------------------------------------------------
+	
+	// 因为金额total_fee是前端传的，因此有被用户篡改的风险，因此需要判断下total_fee的值是否和你业务订单中的金额一致，如果不一致，直接返回 return false;
+	
 	// 有三种方式
 	// 方式一：直接写数据库操作
 	// 方式二：使用 await uniCloud.callFunction 调用其他云函数
@@ -840,6 +846,10 @@ module.exports = async (obj) => {
 };
 ```

+#### 特别注意
+
+因为金额 `total_fee` 是前端传的，因此有被用户篡改的风险，因此需要 `判断下total_fee的值是否和你业务订单中的金额一致`，如果不一致，直接返回 `return false`
+
 **注意**

 为什么要你自己创建.js文件，而不是插件默认给你创建好，这是因为后面当插件更新时，你写的代码会被插件更新的代码覆盖（一键合并功能），因此只要插件这里没有文件（而是你自己新建的文件），那么插件更新时，不会覆盖你自己新建的文件内的代码。
@@ -877,6 +887,9 @@ this.$refs.uniPay.open({
 /**
 * 此处建议只改下订单状态，保证能及时返回给第三方支付服务器成功状态
 * 限制4秒内必须执行完全部的异步回调逻辑，建议将消息发送、返佣、业绩结算等业务逻辑异步处理（如用定时任务去处理这些异步逻辑）
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
 */
 module.exports = async (obj) => {
 	let user_order_success = true;
@@ -896,7 +909,7 @@ module.exports = async (obj) => {
 	// 获取你的业务订单信息
 	let orderRes = await db.collection("你的业务订单表").where({ order_no }).get();
 	let orderInfo = orderRes.data[0];
-	// 给用户充值余额
+	// 给用户充值余额（此处没有判断total_fee是否和你业务订单的金额一致，正常需要判断下，不过如果是充值余额，则直接按用户付款的金额充值也没问题）
 	let res = await db.collection("uni-id-users").doc(orderInfo.user_id).update({
 	  balance: _.inc(total_fee)
 	});
@@ -921,6 +934,9 @@ module.exports = async (obj) => {
 /**
 * 此处建议只改下订单状态，保证能及时返回给第三方支付服务器成功状态
 * 限制4秒内必须执行完全部的异步回调逻辑，建议将消息发送、返佣、业绩结算等业务逻辑异步处理（如用定时任务去处理这些异步逻辑）
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
 */
 const payCrypto = require('../libs/crypto.js'); // 获取加密服务
 module.exports = async (obj) => {
@@ -972,6 +988,9 @@ module.exports = async (obj) => {
 /**
 * 此处建议只改下订单状态，保证能及时返回给第三方支付服务器成功状态
 * 限制4秒内必须执行完全部的异步回调逻辑，建议将消息发送、返佣、业绩结算等业务逻辑异步处理（如用定时任务去处理这些异步逻辑）
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
 */
 const payCrypto = require('../libs/crypto.js'); // 获取加密服务
 module.exports = async (obj) => {
@@ -1030,6 +1049,9 @@ const crypto = require("crypto");
 /**
 * 此处建议只改下订单状态，保证能及时返回给第三方支付服务器成功状态
 * 限制4秒内必须执行完全部的异步回调逻辑，建议将消息发送、返佣、业绩结算等业务逻辑异步处理（如用定时任务去处理这些异步逻辑）
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
+ * 特别注意：因为金额是前端传的，需要再判断下金额和你业务系统订单中的金额是否一致，如果不一致，直接返回 return false;
 */
 module.exports = async (obj) => {
 	let user_order_success = true;