自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Java中的微信支付之一:API V3版本簽名詳解

作者:碼農(nóng)小胖哥
開(kāi)發(fā) 后端
最近在折騰微信支付,證書(shū)還是比較煩人的,所以有必要分享一些經(jīng)驗(yàn),減少你在開(kāi)發(fā)微信支付時(shí)的踩坑。目前微信支付的 API 已經(jīng)發(fā)展到V3版本,采用了流行的 Restful 風(fēng)格。

[[348703]]

 1. 前言

最近在折騰微信支付,證書(shū)還是比較煩人的,所以有必要分享一些經(jīng)驗(yàn),減少你在開(kāi)發(fā)微信支付時(shí)的踩坑。目前微信支付的 API 已經(jīng)發(fā)展到V3版本,采用了流行的 Restful 風(fēng)格。

微信支付V2與V3的區(qū)別

 

今天來(lái)分享微信支付的難點(diǎn)——簽名,雖然有很多好用的 SDK 但是如果你想深入了解微信支付還是有幫助的。

2. API 證書(shū)

為了保證資金敏感數(shù)據(jù)的安全性,確保我們業(yè)務(wù)中的資金往來(lái)交易萬(wàn)無(wú)一失。目前微信支付第三方簽發(fā)的權(quán)威的 CA 證書(shū)(API 證書(shū))中提供的私鑰來(lái)進(jìn)行簽名。通過(guò)商戶(hù)平臺(tái)你可以設(shè)置并獲取 API 證書(shū)。

API證書(shū)

 

切記在第一次設(shè)置的時(shí)候會(huì)提示下載,后面就不再提供下載了,具體參考說(shuō)明。

API證書(shū)說(shuō)明

 

設(shè)置后找到zip壓縮包解壓,里面有很多文件,對(duì)于 JAVA 開(kāi)發(fā)來(lái)說(shuō)只需要關(guān)注apiclient_cert.p12這個(gè)證書(shū)文件就行了,它包含了公私鑰,我們需要把它放在服務(wù)端并利用 Java 解析.p12文件獲取公鑰私鑰。

務(wù)必保證證書(shū)在服務(wù)器端的安全,它涉及到資金安全。

解析 API 證書(shū)

接下來(lái)就是證書(shū)的解析了,證書(shū)的解析有網(wǎng)上很多方法,這里我使用比較“正規(guī)”的方法來(lái)解析,利用 JDK 安全包的java.security.KeyStore來(lái)解析。

微信支付 API 證書(shū)使用了PKCS12算法,我們通過(guò)KeyStore來(lái)獲取公私鑰對(duì)的載體KeyPair以及證書(shū)序列號(hào)serialNumber,我封裝了工具類(lèi)(序列號(hào)你自己處理):

  1. import org.springframework.core.io.ClassPathResource; 
  2.  
  3. import java.security.KeyPair; 
  4. import java.security.KeyStore; 
  5. import java.security.PrivateKey; 
  6. import java.security.PublicKey; 
  7. import java.security.cert.X509Certificate; 
  8.  
  9. /** 
  10.  * KeyPairFactory 
  11.  * 
  12.  * @author dax 
  13.  * @since 13:41 
  14.  **/ 
  15. public class KeyPairFactory { 
  16.  
  17.     private KeyStore store; 
  18.  
  19.     private final Object lock = new Object(); 
  20.  
  21.     /** 
  22.      * 獲取公私鑰. 
  23.      * 
  24.      * @param keyPath  the key path 
  25.      * @param keyAlias the key alias 
  26.      * @param keyPass  password 
  27.      * @return the key pair 
  28.      */ 
  29.     public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) { 
  30.         ClassPathResource resource = new ClassPathResource(keyPath); 
  31.         char[] pem = keyPass.toCharArray(); 
  32.         try { 
  33.             synchronized (lock) { 
  34.                 if (store == null) { 
  35.                     synchronized (lock) { 
  36.                         store = KeyStore.getInstance("PKCS12"); 
  37.                         store.load(resource.getInputStream(), pem); 
  38.                     } 
  39.                 } 
  40.             } 
  41.             X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias); 
  42.             certificate.checkValidity(); 
  43.             // 證書(shū)的序列號(hào) 也有用 
  44.             String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase(); 
  45.             // 證書(shū)的 公鑰 
  46.             PublicKey publicKey = certificate.getPublicKey(); 
  47.             // 證書(shū)的私鑰 
  48.             PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem); 
  49.  
  50.             return new KeyPair(publicKey, storeKey); 
  51.  
  52.         } catch (Exception e) { 
  53.             throw new IllegalStateException("Cannot load keys from store: " + resource, e); 
  54.         } 
  55.     } 

眼熟的可以看出是胖哥 Spring Security 教程中 JWT 用的公私鑰提取方法的修改版本,你可以對(duì)比下不同之處。

這個(gè)方法中有三個(gè)參數(shù),這里必須要說(shuō)明一下:

  • keyPath API 證書(shū)apiclient_cert.p12的classpath路徑,一般我們會(huì)放在resources路徑下,當(dāng)然你可以修改獲取證書(shū)輸入流的方式。
  • keyAlias 證書(shū)的別名,這個(gè)微信的文檔是沒(méi)有的,胖哥通過(guò)加載證書(shū)時(shí)進(jìn)行 DEBUG 獲取到該值固定為T(mén)enpay Certificate 。
  • keyPass 證書(shū)密碼,這個(gè)默認(rèn)就是商戶(hù)號(hào),在其它配置中也需要使用就是mchid,就是你用超級(jí)管理員登錄微信商戶(hù)平臺(tái)在個(gè)人資料中的一串?dāng)?shù)字。

3. V3 簽名

微信支付 V3 版本的簽名是我們?cè)谡{(diào)用具體的微信支付的 API 時(shí)在 HTTP 請(qǐng)求頭中攜帶特定的編碼串供微信支付服務(wù)器進(jìn)行驗(yàn)證請(qǐng)求來(lái)源,確保請(qǐng)求是真實(shí)可信的。

簽名格式

簽名串的具體格式,一共五行一行也不能少,每一行以換行符\n結(jié)束。

  1. HTTP請(qǐng)求方法\n 
  2. URL\n 
  3. 請(qǐng)求時(shí)間戳\n 
  4. 請(qǐng)求隨機(jī)串\n 
  5. 請(qǐng)求報(bào)文主體\n 
  • HTTP 請(qǐng)求方法 你調(diào)用的微信支付 API 所要求的請(qǐng)求方法,比如 APP 支付為POST。
  • URL 比如 APP 支付文檔中為https://api.mch.weixin.qq.com/v3/pay/transactions/app,除去域名部分得到參與簽名的 URL。如果請(qǐng)求中有查詢(xún)參數(shù),URL 末尾應(yīng)附加有'?'和對(duì)應(yīng)的查詢(xún)字符串。這里為/v3/pay/transactions/app。
  • 請(qǐng)求時(shí)間戳 服務(wù)器系統(tǒng)時(shí)間戳,保證服務(wù)器時(shí)間正確并利用System.currentTimeMillis() / 1000獲取即可。
  • 請(qǐng)求隨機(jī)串 找個(gè)工具類(lèi)生成類(lèi)似593BEC0C930BF1AFEB40B4A08C8FB242的字符串就行了。
  • 請(qǐng)求報(bào)文主體 如果是GET請(qǐng)求直接為空字符"" ;當(dāng)請(qǐng)求方法為POST或PUT時(shí),請(qǐng)使用真實(shí)發(fā)送的JSON報(bào)文。圖片上傳 API,請(qǐng)使用meta對(duì)應(yīng)的JSON報(bào)文。

生成簽名

然后我們使用商戶(hù)私鑰對(duì)按照上面格式的待簽名串進(jìn)行 SHA256 with RSA 簽名,并對(duì)簽名結(jié)果進(jìn)行Base64 編碼得到簽名值。對(duì)應(yīng)的核心 Java 代碼為:

  1. /** 
  2.  * V3  SHA256withRSA 簽名. 
  3.  * 
  4.  * @param method       請(qǐng)求方法  GET  POST PUT DELETE 等 
  5.  * @param canonicalUrl 例如  https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1 
  6.  * @param timestamp    當(dāng)前時(shí)間戳   因?yàn)橐渲玫絋OKEN 中所以 簽名中的要跟TOKEN 保持一致 
  7.  * @param nonceStr     隨機(jī)字符串  要和TOKEN中的保持一致 
  8.  * @param body         請(qǐng)求體 GET 為 "" POST 為JSON 
  9.  * @param keyPair      商戶(hù)API 證書(shū)解析的密鑰對(duì)  實(shí)際使用的是其中的私鑰 
  10.  * @return the string 
  11.  */ 
  12. @SneakyThrows 
  13. String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair)  { 
  14.     String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body) 
  15.             .collect(Collectors.joining("\n""""\n")); 
  16.     Signature sign = Signature.getInstance("SHA256withRSA"); 
  17.     sign.initSign(keyPair.getPrivate()); 
  18.     sign.update(signatureStr.getBytes(StandardCharsets.UTF_8)); 
  19.     return Base64Utils.encodeToString(sign.sign()); 

4. 使用簽名

簽名生成后會(huì)同一些參數(shù)組成一個(gè)Token放置到對(duì)應(yīng) HTTP 請(qǐng)求的Authorization請(qǐng)求頭中,格式為:

  1. Authorization: WECHATPAY2-SHA256-RSA2048 {Token} 

Token由以下五部分組成:

  • 發(fā)起請(qǐng)求的商戶(hù)(包括直連商戶(hù)、服務(wù)商或渠道商)的商戶(hù)號(hào)mchid
  • 商戶(hù) API 證書(shū)序列號(hào)serial_no,用于聲明所使用的證書(shū)
  • 請(qǐng)求隨機(jī)串nonce_str
  • 時(shí)間戳timestamp
  • 簽名值signature

Token生成的核心代碼:

  1. /** 
  2.  * 生成Token. 
  3.  * 
  4.  * @param mchId 商戶(hù)號(hào) 
  5.  * @param nonceStr   隨機(jī)字符串 
  6.  * @param timestamp  時(shí)間戳 
  7.  * @param serialNo   證書(shū)序列號(hào) 
  8.  * @param signature  簽名 
  9.  * @return the string 
  10.  */ 
  11. String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) { 
  12.     final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\""
  13.     // 生成token 
  14.     return String.format(TOKEN_PATTERN, 
  15.             wechatPayProperties.getMchId(), 
  16.             nonceStr, timestamp, serialNo, signature); 

將生成的Token按照上述格式放入請(qǐng)求頭中即可完成簽名的使用。

5. 總結(jié)

本文我們對(duì)微信支付 V3 版本的難點(diǎn)簽名以及簽名的使用進(jìn)行了完整的分析,同時(shí)對(duì) API 證書(shū)的解析也進(jìn)行了講解,相信能夠幫助你在支付開(kāi)發(fā)中解決一些具體的問(wèn)題。

本文轉(zhuǎn)載自微信公眾號(hào)「碼農(nóng)小胖哥」,可以通過(guò)以下二維碼關(guān)注。轉(zhuǎn)載本文請(qǐng)聯(lián)系碼農(nóng)小胖哥公眾號(hào)。

 

責(zé)任編輯:武曉燕 來(lái)源: 碼農(nóng)小胖哥
JavaAPI V3支付
相關(guān)推薦

2023-11-17 18:17:33

微信支付V3版本

2011-12-02 09:59:29

API

2015-10-30 10:24:31

JAVA微信插件框架

2016-03-04 10:29:51

微信支付源碼

2021-04-27 14:59:13

微信一鍵凍結(jié)手機(jī)

2010-07-30 13:17:33

NFS V3

2024-12-30 20:32:36

2021-06-21 09:24:40

微信朋友圈Windows版

2012-05-28 15:25:40

微瘋客棧

2013-03-25 16:07:13

和信創(chuàng)天云存儲(chǔ)

2013-07-19 09:50:10

Java8API

2015-11-10 11:38:06

2016-04-21 11:12:25

云鎖cloud云計(jì)算

2021-10-04 14:59:35

微信手機(jī)安卓

2012-05-17 13:28:08

OpenStack

2009-02-16 09:46:45

Windows 7 b改變詳解

2022-03-27 20:52:41

Chrome插件開(kāi)發(fā)

2011-05-20 07:52:54

RADVISIONSCOPIA Mobi

2014-07-16 17:57:50

Cocos

2009-12-29 10:12:27

Ubuntu 9.10
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)