实现支付宝扫码支付的.NET Core源码实例

钭胥冉

于 2025-06-09 09:32:14 发布

阅读量302

点赞数 5

CC 4.0 BY-SA版权

本文链接：https://blog.csdn.net/weixin_35899324/article/details/148553495

本文还有配套的精品资源，点击获取

简介：本实例源码展示了如何使用.NET Core框架实现支付宝的扫码支付功能。源码适用于构建电子商务或移动支付应用，并可在多种操作系统上运行。源码利用了支付宝官方或第三方提供的SDK，通过API集成，生成预订单，并展示二维码供用户扫码完成支付。此外，源码中还包含了支付流程、安全验证、错误处理和测试环境配置等关键实践技巧。 .netcore支付宝扫码支付实例源码.rar

1. .NET Core支付宝扫码支付实现

章节内容概览

.NET Core作为微软推出的一款跨平台、高性能的开源框架，非常适合构建现代的云服务和微服务应用。本章我们重点关注如何在.NET Core环境下实现支付宝的扫码支付功能。我们将首先概述支付宝支付流程，并深入到.NET Core项目中集成支付宝SDK的实际步骤，以及如何根据支付宝开放平台的API文档设计和实现扫码支付功能。

实现支付宝扫码支付的必要条件

在.NET Core项目中实现支付宝扫码支付，需要满足以下条件： - 注册并拥有一个支付宝开放平台的开发者账号。 - 熟悉.NET Core框架以及如何在其中创建和配置Web API项目。 - 了解RESTful API设计原则，以及如何在.NET Core中编写和管理API控制器。 - 掌握基本的网络请求处理流程，包括请求和响应的构造以及数据的传输。

章节内容深入

随着移动支付的普及，支付宝已成为主流的支付方式之一。在.NET Core中实现支付宝扫码支付，首先需要了解支付宝开放平台提供的API接口以及如何通过这些接口与支付宝进行交互。通过在.NET Core项目中集成Alipay SDK，开发者可以更简便地实现与支付宝的支付流程对接。此外，还需要考虑到安全性验证机制，如签名验证、时间戳以及随机数的使用，确保支付过程的安全性。本章将逐步引导读者从基础到高级特性，理解并掌握.NET Core支付宝扫码支付的实现方法。

接下来的章节将逐步深入探讨支付宝开放平台API的应用、.NET Core Web API的基础、Alipay SDK的集成与配置、扫码支付流程的详解，以及安全验证机制与测试部署等方面，帮助开发者构建一个可靠且易于维护的支付系统。

2. 支付宝开放平台API应用

2.1 支付宝开放平台概览

2.1.1 开放平台的注册与认证

在开始接入支付宝支付API之前，首先需要在支付宝开放平台进行注册，并完成开发者认证。注册过程简单，只需要一个有效的邮箱和手机号即可创建开发者账号。而认证流程则稍微复杂一些，需要提供一些企业或个人的基本信息，并通过支付宝的审核。

在支付宝开放平台注册完成后，开发者需要进行实名认证。实名认证通常需要提交个人或企业相关证件的信息，例如身份证、营业执照等，这些材料需要按照支付宝的要求进行上传。完成认证后，开发者可以获取到一个支付宝分配的 APPID ，这是接入支付宝API的重要标识。

2.1.2 开放平台的API文档及接入流程

支付宝开放平台提供了详尽的API文档，其中详细列出了各种API的调用方法、参数、返回值及错误码说明。开发者可以通过阅读API文档来了解如何使用支付宝的各项服务。在文档中，支付宝会标明每个API的适用范围、权限要求等信息，以确保开发者能够正确地调用API。

接入支付宝API流程大致可以分为以下几个步骤：

阅读API文档 ：首先仔细阅读支付宝开放平台的API文档，了解各个API的用途和调用规则。
申请权限 ：根据接入方案，选择需要的API接口并申请相应的权限。
开发与测试 ：在支付宝开放的沙箱环境中进行开发和测试，确保API的正确性和稳定性。
发布上线 ：在沙箱测试无误后，切换到正式环境，发布应用上线。

在接入过程中，支付宝提供了沙箱测试环境，支持模拟交易、查询等操作，为开发者提供了一个风险较低的测试平台。

2.2 支付宝支付API详解

2.2.1 支付宝支付API的请求与响应

在开发过程中，了解支付宝支付API的请求与响应格式是基础。支付宝API通常采用HTTPS协议进行通信，请求数据使用JSON格式，而响应数据也遵循JSON标准。这保证了数据传输的安全性和可读性。

在进行API请求时，首先需要准备必要的参数，包括业务参数和安全参数。业务参数如订单金额、商品描述等，而安全参数主要是为了保证交易安全，例如前面提到的 APPID 、签名等。请求参数构建完毕后，通过HTTPS协议发送到支付宝服务器。

支付宝服务器处理完请求后，会返回一个JSON格式的响应包。开发者需要解析这个响应包，检查其中的状态码和信息，以确定请求是否成功，以及后续的处理逻辑。响应包通常包含如下信息：

code ：状态码，用来标识请求处理的结果。
msg ：状态码的描述信息。
trade_no ：支付宝交易号，用于查询交易状态等。

2.2.2 支付宝API的沙箱测试环境使用

支付宝提供了沙箱测试环境，模拟真实支付宝环境，供开发者进行API调用测试。在沙箱环境下，开发者可以模拟用户支付、退款等操作，而不需要真实支付资金，非常适合开发阶段的测试。

沙箱环境中的账号分为两种类型：测试账号和测试商户号。测试账号模拟普通用户，用于进行支付操作；测试商户号则用于模拟商户端操作，如创建订单、处理退款等。

使用沙箱测试环境时，需要注意以下几点：

沙箱环境仅用于测试，所有的交易数据都不会影响到真实环境。
沙箱中的交易金额、余额等都是虚拟的，可以自行设置。
在沙箱测试完成后，需要切换到真实环境进行部署。

沙箱环境的使用，可以帮助开发者在不涉及真实资金的情况下，进行充分的测试，确保支付功能的稳定性和安全性。

2.2.3 API调用的最佳实践

在实际应用支付宝支付API时，开发者应该遵循一些最佳实践来确保支付流程的顺畅和安全。这些实践包括但不限于：

参数验证 ：在发起API请求之前，需要对所有输入参数进行验证，确保参数的合法性。
安全性检查 ：对敏感信息如签名、私钥等进行保护，防止泄露。
异常处理 ：对API调用过程中可能出现的异常进行捕获和处理，确保程序的健壮性。
超时处理 ：设置合理的超时时间，避免因网络问题导致的长时间等待。
幂等性设计 ：确保同一个API多次调用产生的结果是一致的，避免重复支付等问题。

遵循最佳实践，不仅可以提升应用的性能和稳定性，还可以提升用户体验，降低被攻击的风险。

以上章节介绍了支付宝开放平台的基础知识以及API的使用方法，为后续章节中如何在.NET Core环境下集成支付宝支付功能奠定了基础。接下来，我们将深入探讨.NET Core Web API的基础知识及其在实现支付宝支付功能中的应用。

3. .NET Core Web API基础

3.1 Web API的基本概念

3.1.1 RESTful API设计理念

RESTful API是一种基于HTTP协议的软件接口设计风格，其核心概念是资源（Resource），每个资源都有唯一的URI（Uniform Resource Identifier）。客户端和服务器通过HTTP动词（如GET、POST、PUT、DELETE等）交互这些资源。RESTful API设计风格追求简单、灵活，便于客户端使用。

RESTful API遵循的几个原则包括： - 无状态（Stateless） ：每个请求都独立于其他请求，不依赖于任何存储的状态。 - 可缓存（Cachable） ：服务器响应的内容应当是可缓存的，以减少网络带宽和服务器负载。 - 统一接口（Uniform Interface） ：通过HTTP协议的标准操作来处理资源，使得系统更具有可伸缩性。 - 客户端-服务器解耦 ：客户端通过统一接口与服务器交互，简化客户端的实现，同时允许服务器端的优化。

3.1.2 Web API与MVC的区别和联系

Web API和MVC（Model-View-Controller）是.NET框架中两种不同的模式，它们各自有不同的应用场景和设计目的。

MVC模式是用于Web应用程序的架构风格，侧重于视图（View）和数据模型（Model）的分离，通过控制器（Controller）来协调这两者之间的交互。MVC模式能够清晰地分离应用程序的业务逻辑和显示逻辑。

Web API则更多用于构建服务接口，客户端可以是任何类型的设备或应用，不仅仅限于Web页面。Web API侧重于数据交换，并且通常使用JSON或XML格式来传输数据。

Web API与MVC的联系主要体现在Web应用程序中： - 共享模型（Model） ：MVC的Model可以与Web API共享，因为它们可以表示相同的数据结构。 - 路由系统 ：两者可以共享路由系统（尽管Web API有其特定的路由配置），从而简化应用程序的设计。 - 依赖注入和中间件 ：在.NET Core中，两者都使用依赖注入（DI）和中间件组件，这使得它们之间的功能可以相互调用和集成。

3.2 创建.NET Core Web API项目

3.2.1 初始化项目结构

初始化.NET Core Web API项目的步骤如下：

使用命令行工具（如 dotnet CLI ）创建新的Web API项目。 bash dotnet new webapi -n MyApiProject
进入项目文件夹中，使用 dotnet restore 恢复依赖。 bash cd MyApiProject dotnet restore
运行应用程序查看初始状态。 bash dotnet run

执行 dotnet run 命令后，会启动一个Web服务器，默认端口为5000或5001（HTTPS），并在浏览器中打开初始页面。

3.2.2 编写API控制器

编写API控制器（Controller）通常涉及创建一个继承自 ControllerBase 的类，并在其内部定义操作（Action）方法。下面是一个简单的例子：

using Microsoft.AspNetCore.Mvc;

namespace MyApiProject.Controllers
{
    [ApiController]
    [Route("[controller]")]
    public class WeatherForecastController : ControllerBase
    {
        [HttpGet]
        public IEnumerable<WeatherForecast> Get()
        {
            // 示例数据
            var weatherForecasts = Enumerable.Range(1, 5).Select(index => new WeatherForecast
            {
                Date = DateTime.Now.AddDays(index),
                TemperatureC = Random.Shared.Next(-20, 55),
                Summary = Summaries[Random.Shared.Next(Summaries.Length)]
            })
            .ToArray();
            return weatherForecasts;
        }
    }

    public class WeatherForecast
    {
        public DateTime Date { get; set; }
        public int TemperatureC { get; set; }
        public string Summary { get; set; }
    }

    public static class Summaries
    {
        public static string[] Values = new[]
        {
            "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
        };
    }
}

此代码定义了一个名为 WeatherForecastController 的控制器，其中包含一个 Get 方法用于返回天气预报数据。该控制器通过路由 [Route("[controller]")] 被自动关联到 weatherforecast 路由。

3.2.3 API版本管理策略

API版本管理是确保API长期演进而不影响现有客户端的一种关键策略。有几种常见的API版本管理策略：

URI版本控制 ：将版本号直接包含在URI路径中。 http GET /v1/WeatherForecasts GET /v2/WeatherForecasts
查询字符串版本控制 ：将版本号作为查询参数传递。 http GET /WeatherForecasts?version=1 GET /WeatherForecasts?version=2
自定义HTTP头版本控制 ：在HTTP头中添加版本信息。 http GET /WeatherForecasts Accept: application/vnd.myapp.v1+json
媒体类型版本控制 ：定义不同的媒体类型（MIME类型）来区分版本。 http GET /WeatherForecasts Accept: application/vnd.myapp.v1+json

每种策略都有其优缺点，选择合适的策略取决于团队的偏好和特定的应用场景。在.NET Core Web API项目中，版本管理通常可以通过在控制器上应用不同的路由模板、使用查询字符串或自定义HTTP头来实现。

3.3 Web API的高级特性

3.3.1 中间件的使用和配置

中间件是.NET Core应用中处理HTTP请求的组件，它们按照定义的顺序执行，并且可以终止请求处理管线，从而实现特定的功能，如身份验证、日志记录等。

中间件的配置示例如下：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    app.UseRouting();

    app.UseAuthorization();

    app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllers();
    });
}

在上述代码中， UseDeveloperExceptionPage 中间件用于开发环境中提供详细的错误信息。 UseRouting 中间件用于定义路由，而 UseAuthorization 中间件用于处理身份验证。

3.3.2 静态文件服务和API文档生成

为了提供静态文件服务，例如HTML、CSS、JavaScript文件，可以使用 UseStaticFiles 中间件。这允许Web应用程序提供静态内容。

示例配置静态文件服务：

app.UseStaticFiles(); // For the wwwroot folder

app.UseStaticFiles(new StaticFileOptions
{
    FileProvider = new PhysicalFileProvider(
        Path.Combine(Directory.GetCurrentDirectory(), "MyStaticFiles")),
    RequestPath = "/StaticFiles"
});

对于API文档生成，ASP.NET Core支持Swagger UI。通过添加 Swashbuckle.AspNetCore NuGet包，并配置Swagger中间件来生成和展示API文档。

示例配置Swagger文档生成：

public void ConfigureServices(IServiceCollection services)
{
    services.AddSwaggerGen(c =>
    {
        c.SwaggerDoc("v1", new OpenApiInfo { Title = "My API", Version = "v1" });
    });
}

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    app.UseSwagger();
    app.UseSwaggerUI(c =>
    {
        c.SwaggerEndpoint("/swagger/v1/swagger.json", "My API V1");
    });
}

配置完成后，Swagger UI允许开发者通过Web界面浏览API文档，测试API端点，并生成客户端SDK代码。

总结以上，本章节详细介绍了.NET Core Web API的基础知识，包括其基本概念、如何创建和配置Web API项目、以及如何使用中间件和生成API文档。在了解了这些基础概念后，开发者可以进一步深入学习如何集成和配置第三方SDK，例如Alipay SDK，以及如何实现具体的业务流程，如扫码支付。

4. Alipay SDK集成与配置

在前一章节中，我们了解了.NET Core Web API的基础知识，为深入支付宝扫码支付的实现打下了基础。现在我们将聚焦于Alipay SDK的集成与配置，这是实现支付宝支付功能的关键步骤。

4.1 Alipay SDK简介与环境要求

4.1.1 SDK的作用和优势

支付宝提供了一套SDK，简化了开发者在.NET环境中接入支付宝支付的复杂性。使用SDK，开发者可以避免直接处理底层的HTTP请求和响应细节，而是通过封装好的方法实现支付功能。这不仅减少了代码量，也降低了出错的可能性。此外，SDK通常会包含一些最佳实践和优化，比如安全相关的参数处理和校验机制。

4.1.2 集成SDK的准备工作

在开始集成SDK之前，需要满足一些基本要求。首先，开发者必须在支付宝开放平台完成商户账号的注册，并获取相应的AppID。其次，需要准备开发环境，如安装.NET Core运行时和Visual Studio等开发工具。还需要配置好项目的.NET Core版本，以确保SDK的兼容性。

4.2 Alipay SDK的安装与配置

4.2.1 SDK包的安装

要安装Alipay SDK，首先需要在项目中引入NuGet包。可以通过NuGet包管理器的图形界面进行安装，或者使用命令行工具执行如下命令：

dotnet add package AlipaySDKNetCore --version 1.0.0

此命令将添加最新版本的SDK到项目中。请确保使用最新版本，以获取最新的功能和安全更新。

4.2.2 配置文件的编写和加密

配置文件包含必须的参数，如AppID、私钥、支付宝公钥等。这些参数在生产环境中必须保密，因此建议对配置文件进行加密处理。在.NET Core中，可以使用内置的加密机制来保护配置文件。

一个典型的配置文件（appsettings.json）可能如下所示：

{
  "Alipay": {
    "AppId": "你的AppID",
    "PrivateKey": "你的私钥",
    "SignType": "RSA2",
    "Charset": "utf-8",
    "EncryptType": "AES",
    "AlipayPublicKey": "支付宝公钥",
    "SignKey": "默认签名方式",
    "ApiVersion": "1.0"
  }
}

在代码中，可以使用如下方式读取配置文件：

var configuration = new ConfigurationBuilder()
    .AddJsonFile("appsettings.json")
    .Build();

var alipayOptions = configuration.GetSection("Alipay").Get<AlipayOptions>();

这里的 AlipayOptions 是自定义的一个类，用于将配置文件中的参数映射到类的属性上。

4.3 Alipay SDK的使用示例

4.3.1 发起支付请求的步骤

使用SDK发起支付宝支付请求通常涉及以下步骤：

实例化客户端对象，传入配置。
构造支付请求参数。
调用SDK提供的方法发起请求。

以下是一个简化的示例代码：

using AlipaySDKNetCore.Api;
using AlipaySDKNetCore.Client;
using AlipaySDKNetCore.Model;

public class AlipayService
{
    public async Task<string> RequestAlipayAsync(AlipayRequestModel model)
    {
        var client = new AlipayClient(alipayOptions.ServerUrl, alipayOptions.AppId, alipayOptions.PrivateKey, alipayOptions.Format, alipayOptions.Charset, alipayOptions.AlipayPublicKey, alipayOptions.SignType);
        var api = new AlipayFundTransToaccountTransferApi();

        var request = new AlipayFundTransToaccountTransferRequest();
        request BizContent = new AlipayFundTransToaccountTransferModel();
        request.BizContent.OutBizNo = model.OutBizNo;
        request.BizContent.ProductCode = "TRANS";
        request.BizContent.OrderTitle = model.OrderTitle;
        request.BizContent.PayeeAccount = model.PayeeAccount;
        request.BizContent.PayeeRealName = model.PayeeRealName;
        request.BizContent.Amount = new Amount
        {
            Total = model.Amount.ToString(),
            Currency = "CNY"
        };
        // 其他必要参数...
        var res = await client.ExecuteAsync(request);
        return res.Body;
    }
}

4.3.2 处理支付结果的逻辑

处理支付宝支付结果需要根据支付宝的异步通知来确认支付是否成功。通常会在一个HTTP请求的处理函数中加入如下逻辑：

public async Task<HttpResponseMessage> AlipayNotifyHandler()
{
    var notifyData = Request.Content.ReadAsStringAsync().Result;
    var notifyObj = AlipayNotifyResponse.Parser.ParseFromXml(notifyData);
    // 验证签名和业务逻辑处理
    bool isValid = AlipaySignature.RsaCheckV2(notifyData, alipayOptions.AlipayPublicKey, alipayOptions.Charset, alipayOptions.SignType);
    if (isValid)
    {
        // 处理订单逻辑...
    }
    return new HttpResponseMessage(HttpStatusCode.OK);
}

在这段代码中， AlipaySignature.RsaCheckV2 方法用于验证通知数据的签名，确保数据来自支付宝，然后执行业务逻辑处理。

至此，我们已经介绍了如何使用Alipay SDK进行支付宝支付的集成与配置。通过本章节的介绍，我们不仅了解了SDK的基本使用，还掌握了如何处理支付请求和结果。在下一章中，我们将深入探讨支付宝扫码支付的业务流程和技术实现细节。

5. 扫码支付流程详解

扫码支付已经成为线上和线下支付的主流方式之一，它的便捷性给用户带来了全新的支付体验。在本章节中，我们将详细介绍扫码支付的业务流程和技术实现，并逐步深入解析其中的关键技术点。

5.1 扫码支付的业务流程

扫码支付通常涉及用户、商户和支付平台三方。用户通过扫描商户提供的二维码来发起支付，商户的服务器端负责处理支付请求，并与支付平台进行交互，完成支付流程。

5.1.1 用户扫码支付的步骤

用户扫码支付的过程看似简单，但背后却有一系列精心设计的步骤：

用户选择商品或服务 ：用户在商户处选择需要支付的商品或服务。
商户生成支付二维码 ：商户根据用户所选商品或服务生成一个包含支付信息的二维码。
用户扫描二维码 ：用户使用支付宝客户端扫描商户提供的支付二维码。
用户确认支付信息 ：支付宝客户端展示用户需要支付的金额和支付方式，用户确认后，点击支付。
支付结果反馈 ：支付成功后，支付宝会向用户的支付宝账户发送支付成功通知，并反馈给商户的服务器端。

5.1.2 服务器端的支付状态处理

服务器端在扫码支付流程中扮演了重要的角色，它负责与支付平台进行交互，并处理支付状态：

接收支付请求 ：商户服务器接收到用户的支付请求后，将请求转发到支付平台（例如支付宝）。
响应支付结果 ：支付平台处理支付请求后，将支付结果以异步通知的形式发送给商户服务器。
状态同步 ：商户服务器收到支付结果通知后，需要及时更新订单状态，并向用户反馈。
异常处理 ：若支付过程中出现异常，如网络故障等，商户服务器需要进行异常捕获，并提供用户重新支付的选项。

5.2 扫码支付的技术实现

扫码支付的技术实现涉及到多个方面，包括支付二维码的生成、支付请求的发起、支付结果的确认等。

5.2.1 生成支付二维码的方法

生成支付二维码是扫码支付流程中的第一步，通常由商户的服务器端生成并提供给用户。以下是生成支付二维码的常见技术实现步骤：

组装支付参数 ：根据业务需求，将支付金额、商品描述、商户订单号等信息组装成一个支付参数。
调用支付接口 ：商户服务器通过调用支付宝的支付接口获取预支付交易会话标识（prepay_id）。
生成二维码 ：使用支付宝提供的SDK或自己编写的代码，根据预支付交易会话标识生成二维码图片。

代码示例：

// 伪代码，展示生成支付二维码的过程
string orderInfo = "orderAmount=10.00&productCode=FAST_INSTANT_TRADE_PAY";
string prepayId = alipayClient.Execute("alipay.trade.precreate", orderInfo).Get<string>("prepay_id");

// 使用SDK提供的方法生成二维码图片
string qrCodePath = alipayClient.GenerateQrCode(prepayId);
// 生成的二维码图片路径为qrCodePath

5.2.2 扫码支付结果的确认与同步

支付结果的确认与同步是保证交易安全、及时更新用户订单状态的关键步骤。支付完成后，支付平台会向商户服务器发送异步通知，商户服务器需确认支付结果，并更新本地订单状态。

监听支付通知 ：商户服务器需要在特定接口监听来自支付宝的支付通知。
验证支付通知合法性 ：收到支付通知后，商户服务器应通过支付宝提供的签名验证机制验证通知的真实性。
确认支付结果 ：验证无误后，商户服务器根据通知内容更新订单状态为支付成功。
向用户反馈 ：最后，商户服务器应向用户发送支付成功通知，并提供后续服务。

代码示例：

// 伪代码，展示支付通知处理流程
public void HandlePaymentNotification(string notification)
{
    // 验证通知签名
    if (VerifyNotificationSignature(notification))
    {
        // 解析通知内容
        var notificationContent = ParseNotification(notification);
        // 更新订单状态
        UpdateOrderStatus(notificationContent.OrderId, "Paid");
        // 反馈给支付宝服务器
        RespondSuccessToAlipayServer(notification);
    }
    else
    {
        // 签名验证失败处理
        RespondFailureToAlipayServer(notification);
    }
}

以上所述的业务流程和技术实现，构成了扫码支付的核心内容。在接下来的章节中，我们将继续探讨如何通过.NET Core集成Alipay SDK来实现这一流程，并详细介绍如何进行安全验证和测试部署。

6. 安全验证机制与测试部署

6.1 支付宝支付的安全机制

6.1.1 签名算法和验证过程

在支付宝支付流程中，签名算法起着至关重要的作用，它是保证支付安全性的一个核心步骤。支付宝的签名算法通常遵循RSA2加密标准，通过公钥和私钥的配对使用来确保数据的安全传输。

签名验证主要包含以下几个步骤：

请求参数排序 ：将所有请求参数按照参数名的字典序进行排序。
拼接字符串 ：将排序后的参数名和参数值以 参数名=参数值 的格式进行拼接，使用 & 连接各个参数。
生成签名串 ：将拼接好的字符串拼接上支付宝分配的AppID、请求方法、请求地址，得到最终的待签名字符串。
签名生成 ：使用商户私钥对签名串进行加密，生成签名值。

为了确保支付请求的有效性，支付宝服务器将使用商户的公钥对签名进行验证。如果验证失败，请求将被拒绝。

6.1.2 随机数和时间戳的作用

随机数（ biz_content.random_string ） ：为每个请求生成一个唯一的随机字符串，可以防止重放攻击和伪装攻击，确保每次请求都是独一无二的。
时间戳（ timestamp ） ：生成请求的时间戳，用于验证请求是否在有效期内发出。时间戳和支付宝服务器的时间相差不能超过15分钟，否则视为过期请求。

以上两种安全措施都必须在客户端生成请求时加入，并在服务器端进行校验。这样可以有效地防止请求被劫持和篡改，提高了整个支付流程的安全性。