[问答]

微信支付V3版本的难点签名以及签名的使用

3726 微信

问答对人有帮助，内容完整，我也想知道答案 0 1. 前言最近在折腾微信支付，证书还是比较烦人的，所以有必要分享一些经验，减少你在开发微信支付时的踩坑。目前微信支付的API已经发展到V3版本，采用了流行的Restful风格。今天来分享微信支付的难点——签名，虽然有很多好用的SDK但是如果你想深入了解微信支付还是需要了解一下的。 0
2020-11-4 07:10:39　　评论淘帖0 邀请回答您可以邀请以下用户，快速回答问题 × 陈该类别下有 5 个回答。邀请回答 jf_71236567 该类别下有 3 个回答。邀请回答 tijing忽忽该类别下有 2 个回答。邀请回答 HELLOKITTYNEW 该类别下有 2 个回答。邀请回答 dlksmad 该类别下有 2 个回答。邀请回答 mu0543 该类别下有 2 个回答。邀请回答 nvwwerwr 该类别下有 2 个回答。邀请回答 60user28 该类别下有 2 个回答。邀请回答 To7ny 该类别下有 2 个回答。邀请回答 yhsales 该类别下有 2 个回答。邀请回答 puzhang549 该类别下有 2 个回答。邀请回答 ZONEK 该类别下有 2 个回答。邀请回答 60user115 该类别下有 1 个回答。邀请回答 hjfjsdgfjdsf 该类别下有 1 个回答。邀请回答 Kar98_K 该类别下有 1 个回答。邀请回答 jf_72570271 该类别下有 1 个回答。邀请回答 zzl111 该类别下有 1 个回答。邀请回答艾嘉大人该类别下有 1 个回答。邀请回答 ldliu 该类别下有 1 个回答。邀请回答 60user149 该类别下有 1 个回答。邀请回答举报王侃相关推荐 • 求解-利用微信或支付宝支付的Mini自助售卖机的应用及后台管理模式 4605 • OpenHarmony设置自动化签名报错怎么解决？ 2206 • VEE 9.3副本在安装后无法运行？ 1723 • ST-LINK V3桥API问题求解 276 • DevEco Studio运行示例代码无法自动签名如何解决？ 3298 • 如何将DevEco Studio自动化签名的应用烧录到开发板上？ 2174 • 什么是Android - 微信聊天记录恢复 v5.0 解锁版？ 9855 • 如何让USB驱动程序签名？ 3859 • 是否可以按原样使用espsecure来支持对图像进行远程签名呢？ 290 • 签到时的签名在哪 2229 1个回答

答案对人有帮助，有参考价值 0 2. API证书为了保证资金敏感数据的安全性，确保我们业务中的资金往来交易万无一失。目前微信支付第三方签发的权威的CA证书(API证书)中提供的私钥来进行签名。通过商户平台你可以设置并获取API证书。切记在第一次设置的时候会提示下载，后面就不再提供下载了，具体参考说明。设置后找到zip压缩包解压，里面有很多文件，对于JAVA开发来说只需要关注apiclient_cert.p12这个证书文件就行了，它包含了公私钥，我们需要把它放在服务端并利用Java解析.p12文件获取公钥私钥。务必保证证书在服务器端的安全，它涉及到资金安全。解析API证书接下来就是证书的解析了，证书的解析有网上很多方法，这里我使用比较“正规”的方法来解析，利用JDK安全包的java.security.KeyStore来解析。微信支付API证书使用了PKCS12算法，我们通过KeyStore来获取公私钥对的载体KeyPair以及证书序列号serialNumber，我封装了工具类： import org.springframework.core.io.ClassPathResource;import java.security.KeyPair;import java.security.KeyStore;import java.security.PrivateKey;import java.security.PublicKey;import java.security.cert.X509Certificate;/** * KeyPairFactory * * @author dax * @since 13:41 /public class KeyPairFactory { private KeyStore store; private final Object lock = new Object(); / * 获取公私钥. * * @param keyPath the key path * @param keyAlias the key alias * @param keyPass password * @return the key pair / public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) { ClassPathResource resource = new ClassPathResource(keyPath); char[] pem = keyPass.toCharArray(); try { synchronized (lock) { if (store == null) { synchronized (lock) { store = KeyStore.getInstance("PKCS12"); store.load(resource.getInputStream(), pem); } } } X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias); certificate.checkValidity(); // 证书的序列号也有用 String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase(); // 证书的公钥 PublicKey publicKey = certificate.getPublicKey(); // 证书的私钥 PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem); return new KeyPair(publicKey, storeKey); } catch (Exception e) { throw new IllegalStateException("Cannot load keys from store: " + resource, e); } }} 眼熟的可以看出是胖哥Spring Security教程中JWT用的公私钥提取方法的修改版本，你可以对比下不同之处。这个方法中有三个参数，这里必须要说明一下： keyPath API证书apiclient_cert.p12的classpath路径,一般我们会放在resources路径下，当然你可以修改获取证书输入流的方式。 keyAlias 证书的别名，这个微信的文档是没有的，胖哥通过加载证书时进行DEBUG获取到该值固定为Tenpay Certificate 。 keyPass 证书密码，这个默认就是商户号，在其它配置中也需要使用就是mchid，就是你用超级管理员登录微信商户平台在个人资料中的一串数字。 3. V3签名微信支付V3版本的签名是我们在调用具体的微信支付的API时在HTTP请求头中携带特定的编码串供微信支付服务器进行验证请求来源，确保请求是真实可信的。签名格式签名串的具体格式，一共五行一行也不能少，每一行以换行符/n结束。 HTTP请求方法/nURL/n请求时间戳/n请求随机串/n请求报文主体/n HTTP请求方法* 你调用的微信支付API所要求的请求方法，比如APP支付为POST。 URL 比如APP支付文档中为https://api.mch.weixin.qq.com/v3/pay/transactions/app，除去域名部分得到参与签名的URL。如果请求中有查询参数，URL末尾应附加有'?'和对应的查询字符串。这里为/v3/pay/transactions/app。请求时间戳服务器系统时间戳，保证服务器时间正确并利用System.currentTimeMillis() / 1000获取即可。请求随机串找个工具类生成类似593BEC0C930BF1AFEB40B4A08C8FB242的字符串就行了。请求报文主体如果是GET请求直接为空字符"" ；当请求方法为POST或PUT时，请使用真实发送的JSON报文。图片上传API，请使用meta对应的JSON报文。生成签名然后我们使用商户私钥对按照上面格式的待签名串进行SHA256 with RSA签名，并对签名结果进行Base64编码得到签名值。对应的核心Java代码为： /** * V3 SHA256withRSA 签名. * * @param method 请求方法 GET POST PUT DELETE 等 * @param canonicalUrl 例如 https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1 * @param timestamp 当前时间戳因为要配置到TOKEN 中所以签名中的要跟TOKEN 保持一致 * @param nonceStr 随机字符串要和TOKEN中的保持一致 * @param body 请求体 GET 为 "" POST 为JSON * @param keyPair 商户API 证书解析的密钥对实际使用的是其中的私钥 * @return the string /@SneakyThrowsString sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair) { String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body) .collect(Collectors.joining("/n", "", "/n")); Signature sign = Signature.getInstance("SHA256withRSA"); sign.initSign(keyPair.getPrivate()); sign.update(signatureStr.getBytes(StandardCharsets.UTF_8)); return Base64Utils.encodeToString(sign.sign());}4. 使用签名签名生成后会同一些参数组成一个Token放置到对应HTTP请求的Authorization请求头中，格式为： Authorization: WECHATPAY2-SHA256-RSA2048 {Token}Token由以下五部分组成：发起请求的商户（包括直连商户、服务商或渠道商）的商户号mchid 商户API证书序列号serial_no，用于声明所使用的证书请求随机串nonce_str 时间戳timestamp 签名值signature Token生成的核心代码： /* * 生成Token. * * @param mchId 商户号 * @param nonceStr 随机字符串 * @param timestamp 时间戳 * @param serialNo 证书序列号 * @param signature 签名 * @return the string */String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) { final String TOKEN_PATTERN = "mchid=/"%s/",nonce_str=/"%s/",timestamp=/"%d/",serial_no=/"%s/",signature=/"%s/""; // 生成token return String.format(TOKEN_PATTERN, wechatPayProperties.getMchId(), nonceStr, timestamp, serialNo, signature);}将生成的Token按照上述格式放入请求头中即可完成签名的使用。 5. 总结本文我们对微信支付V3版本的难点签名以及签名的使用进行了完整的分析，同时对API证书的解析也进行了讲解，相信能够帮助你在支付开发中解决一些具体的问题。后面有时间我还将对签名的验证进行讲解。

2020-11-4 11:26:34 评论举报张涵