调取支付宝支付正式环境不可以唤起来，但是沙箱可以

摘要：

沙箱能唤起、正式环境唤不起，90% 是环境配置没切全、签名 / 订单串非法、应用权限 / 白名单缺失、域名不合规这四类问题。下面按 “先快速自检→再分场景排查→最后必查项”

一、核心差异（沙箱 vs 正式）

• 沙箱：独立网关、沙箱 APP、测试密钥、HTTP 可通、无备案要求。
• 正式：网关 / APPID / 密钥全换、必须 HTTPS + 备案、签名严格、权限 / 白名单强校验。

二、5 分钟快速自检（必做）

1.环境参数是否全切换

• ✅ APPID：沙箱→正式应用 ID（开放平台获取）。
• ✅ 网关：沙箱openapi.alipaydev.com→正式openapi.alipay.com。
• ✅ 密钥：沙箱公私钥→正式 RSA2 私钥 + 支付宝公钥（绝对不能混用）。
• ✅ 回调：notify_url/return_url改为正式 HTTPS 域名。

2.订单串（orderStr）是否合法

• 沙箱宽松、正式严格：参数缺失 / 格式错 / 签名错 / 超时直接拦截。
• 商户订单号唯一、金额0.01格式正确。
• 签名用RSA2、私钥匹配、排序 + URL 编码正确。
• 时间戳5 分钟内、无特殊字符、长度 < 2048。

3.客户端与权限（APP/H5）

APP：

• 正式包签名正确、与开放平台配置一致。
• Android：AndroidManifest加alipays://协议；iOS：Info.plist配置
• LSApplicationQueriesSchemes白名单。
• 设备装正式版支付宝（非沙箱版）、更新到最新。

H5：

• 域名ICP 备案 + HTTPS（HTTP 直接拦截）。
• 页面在支付宝内置浏览器 / 正规浏览器打开，非沙箱环境。

三、分场景深度排查

场景 1：APP 支付（最常见）

• 现象：沙箱唤起沙箱 APP 正常；正式点击无反应 / 闪一下 / 报错 4000。

排查点：

• 正式包签名与开放平台应用签名一致（填写 MD5，无空格）。
• 私钥用RSA2、长度 2048，签名工具验签通过。
• 订单串打印：无乱码、参数完整、sign=xxx存在。
• 测试设备：卸载沙箱 APP、装最新正式支付宝、重启设备。

场景 2：H5 / 小程序支付

• 现象：沙箱 HTTPS 测试正常；正式环境按钮无响应 / 提示 “非法请求”。

排查点：

• 域名备案 + HTTPS，无跳转、无 iframe 嵌套。
• alipaySdk.min.js加载成功、版本最新，AlipayJSBridge已注入。
• 调用时机：在AlipayJSBridgeReady回调内发起支付。
• 开放平台→设置→关联域名添加当前域名。

场景 3：后端下单成功、前端唤不起

• 核心：后端参数 / 签名错，前端拿到非法订单串。

必查：

1. 后端用正式私钥 + 支付宝公钥，非沙箱密钥。
2. 签名时参数按 key 排序、UTF-8 编码、RSA2 私钥加密。
3. 订单号唯一、金额正确、无必填参数缺失。

四、正式环境必查项（沙箱不校验）

1. 应用审核：开放平台应用已上线、支付权限已开通。
2. 防钓鱼白名单：电脑网站支付需配置anti_phishing_key+exter_invoke_ip。
3. 风控拦截：测试账号未实名、金额异常、短时间多次支付→触发风控。
4. 网络 / 代理：正式环境需公网可访问，无内网 / 防火墙拦截。

五、一步到位的验证方法

1. 用支付宝官方签名工具，输入正式参数 + 私钥，生成签名与后端对比，完全一致才合格。
2. 打印正式环境订单串，复制到沙箱工具验签，能验过说明参数合法，否则参数错。
3. 换一台未装沙箱 APP、最新版支付宝的设备测试，排除客户端干扰。

六、典型错误与对应解决

• 错误：4000 系统繁忙→签名错 / 参数缺失 / 订单串超长。
• 错误：4001 未安装支付宝→设备无正式支付宝 / 版本过低。
• 错误：唤起无反应→APP 签名不匹配 / H5 未 HTTPS / 域名未备案。

一份可直接复制的正式环境配置核对清单

一、基础环境参数（必查，沙箱 / 正式完全隔离）

1. 接口网关：已从 openapi.alipaydev.com 改为 openapi.alipay.com
2. APPID：替换为正式应用 APPID，未混用沙箱 ID
3. 加密算法：统一使用 RSA2(2048)，未用 RSA1
4. 密钥配置:

• 商户私钥：正式环境私钥，非沙箱私钥
• 支付宝公钥：正式环境公钥，非沙箱公钥
• 密钥格式：纯文本、无换行 / 空格 / 注释

5.回调地址

• return_url / notify_url 为正式 HTTPS 域名
• 域名已完成 ICP 备案，公网可正常访问
• 地址无内网地址、localhost、127.0.0.1

二、后端下单 & 签名校验（正式环境校验极严格）

1. 所有请求参数按 ASCII 升序排序后再签名
2. 编码格式：全程 UTF-8，无 GBK/GB2312 乱码
3. 必传参数无缺失：out_trade_no、total_amount、subject、product_code 等
4. 订单号 out_trade_no：全局唯一，无重复
5. 金额 total_amount：格式正确（例：0.01，非 0.010 / 1 / 中文）
6. 时间戳 / 超时参数：在5 分钟有效区间内
7. 用支付宝官方签名工具，核对后端生成签名 = 工具生成签名
8. 最终支付串 / 支付链接无超长、特殊非法字符

三、APP 端支付 专属核对（原生 APP）

1. 安装的是正式版支付宝，已卸载支付宝沙箱版

2. 应用包签名：APP 正式包签名 与 支付宝开放平台填写的MD5 签名完全一致（无空格、大小写统一）

3. 协议白名单配置

   Android [ ] 清单文件配置 alipays:// 跳转协议
   iOS [ ] Info.plist 配置 LSApplicationQueriesSchemes 加入 alipays

4. 应用状态：开放平台应用已上线、支付权限已开通

5. 无代理、内网防火墙拦截公网接口

四、H5 / 网页 / 公众号支付 专属核对

1. 页面全程 HTTPS，禁止 HTTP
2. 支付宝开放平台 → 网页 / 移动应用 → 添加业务域名 / 授权域名
3. 支付代码在 AlipayJSBridgeReady 回调内执行，不提前调用
4. 未被 iframe 多层嵌套、无页面跨域拦截
5. 浏览器为常规移动端浏览器，非调试代理 / 模拟器特殊环境

五、小程序 / 生活号支付 专属核对

1. 小程序已正式发布，非体验版 / 开发版测试
2. 小程序后台已配置对应支付权限、合法域名
3. 服务端域名已加入小程序request 合法域名

六、权限、风控、附加配置

1. 应用类目、资质已审核通过，支付功能已开通
2. 测试账号：支付宝账号已实名认证
3. 短时间未频繁重复下单，未触发支付宝风控拦截
4. 电脑网站支付：已正确配置 anti_phishing_key、exter_invoke_ip（如有）

快速定位小技巧

1. 全部勾选仍异常：打印完整请求参数 + 签名，用官方工具复现验签
2. 点击完全无反应：优先查 APP 签名 / HTTPS + 备案 / 协议白名单
3. 唤起支付宝立刻返回失败：优先查 签名、密钥、请求参数