Описание проблемы:
В функции refund класса ApiPayController.java выполняется код OrderVo orderInfo = orderService.queryObject(orderId);. В этом месте не происходит проверки принадлежности orderId текущему пользователю. В результате, злоумышленник может произвольно указывать номер заказа другого пользователя для осуществления возврата, что приводит к потере данных заказа других пользователей.

Предлагаемые изменения:
Убедитесь, что orderId принадлежит текущему авторизованному пользователю.