webman-buildadmin/app/common/library/finance/DepositMockGateway.php

<?php

declare(strict_types=1);

namespace app\common\library\finance;

/**
 * 模拟第三方支付：HMAC 签名的收银台地址 + 回调验签，便于未来替换为真实网关仅改 URL/验签实现。
 */
final class DepositMockGateway
{
    /**
     * 优先读取环境变量 DEPOSIT_MOCK_HMAC_KEY，其次 config('app.deposit_mock_hmac_key')，再使用开发默认值（生产环境务必设置 env）。
     */
    public static function hmacKey(): string
    {
        $raw = getenv('DEPOSIT_MOCK_HMAC_KEY');
        if (is_string($raw) && trim($raw) !== '') {
            return trim($raw);
        }
        $cfg = config('app.deposit_mock_hmac_key', '');
        if (is_string($cfg) && $cfg !== '') {
            return $cfg;
        }

        return 'webman-dfw-deposit-mock-dev-key-set-DEPOSIT_MOCK_HMAC_KEY-in-prod';
    }

    public static function signOrderNo(string $orderNo): string
    {
        if ($orderNo === '') {
            return '';
        }

        return hash_hmac('sha256', $orderNo, self::hmacKey());
    }

    public static function verifyOrderNo(string $orderNo, string $sign): bool
    {
        if ($orderNo === '' || $sign === '') {
            return false;
        }
        $e = self::signOrderNo($orderNo);
        if ($e === '') {
            return false;
        }

        return hash_equals($e, $sign);
    }

    /**
     * 玩家浏览器打开的「第三方收银台」地址（本项目中为简单 HTML 模拟页，点击后向 notify 发起 POST 完成入账）。
     *
     * @param string|null $publicOrigin 如 https://api.example.com；为 null 时只返回以 / 开头的 path+query，由客户端与 API 域名拼接
     */
    public static function payPageUrl(string $orderNo, ?string $publicOrigin = null): string
    {
        $sign = self::signOrderNo($orderNo);
        $q = http_build_query([
            'order_no' => $orderNo,
            'sign'     => $sign,
        ]);
        $path = '/api/finance/depositMockPayPage?' . $q;
        if ($publicOrigin === null) {
            return $path;
        }
        $base = rtrim($publicOrigin, '/');

        return $base . $path;
    }
}