文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

支付宝加密规则,你真的懂吗?

2024-12-03 07:29

关注

[[390425]]

图片来自 Pexels

什么是签名?

在了解签名前,先回顾一下支付的交互流程。如上图所示,支付的过程中可以大概分为六个步骤:

这 6 个步骤中,最为重要的是步骤 2 和步骤 6。拆解如下:

商家服务器和支付宝服务器交互的过程中传输的信息异常敏感,所以,在交互时必须防止中间人对于信息的篡改。例如步骤 2 将商品的金额改为 0,支付宝就误认为是转账 0 元。

数字签名解决了交互时这一安全问题。它可以验证一条消息或者文档的真实性。

在支付宝支付的接口中,有一个 sign 参数用来填写签名。这个签名作用是为了防止信息伪造。通过这种方式可以有效的防止消息在传递过程中被篡改。

签名实现原理

签名原理

数字签名是一个信息安全的保障,它的实现依赖于双方系统的密钥。

签名过程如下:

计算希望签名的文档的散列。不论输入文档的长度如何,输出长度总是固定的。比如,使用 SHA256 就是 256 位。

对结果散列和一些额外的元数据进行编码。比如,接收方需要知道你使用的散列算法,否则不能处理签名。

使用私钥加密编码过的数据,其结果就是签名,可以追加到文档中作为身份验证的依据。

验证签名(验签):接收方接收文档并使用相同的散列算法独立计算文档散列。

接着,她使用公钥对消息进行解密,将散列解码出来,再确认使用的散列算法是否正确,解密出的散列是否与本地计算的相同。

非对称加密 

支付宝采用 RSA 非对称加密对信息进行签名。非对称加密是由一个公钥和一个私钥组成,一般代码中命名为 public key 和 private key。

非对称加密的特点是:私钥加密的信息只有公钥才能解密,公钥加密的信息只能有私钥才能解密。

一般会将私钥进行保留,开发时一般会放在配置文件中,安全级别和数据库账号密码一样。

公钥会交给其他系统,这样系统间交互时中间人不知道密钥的情况下,是无法破解交互的信息的。

发送方只要保证私钥不泄露,任何人发送给接收方的信息在签名验证时都无法匹配成功。

支付宝的实现签名的方式也大致如此,支付宝在信息交互的时候两个很重要的名词支付宝公钥和应用公钥,这两个秘钥总是让人混淆。

这是因为支付宝提供了两套 RSA 加密。一套是用来保证步骤 2 统一下单接口时的信息安全,另一套是用来保证步骤 6 回调时的信息安全。

如下图,步骤 2 商户服务器通过红色应用私钥(priv key 2)计算签名,支付宝通过红色应用公钥(pub key 2)进行验签。

步骤 6 支付宝服务器通过蓝色支付宝私钥(priv key 6)计算签名,商家通过蓝色支付宝公钥(pub key 6)验证签名。

了解了签名计算原理之后,再去管理平台设置 App 信息的时候就游刃有余了,我以沙箱环境为例子。

如上图,说明使用 RSA2 加密方式,HASH 算法采用 SHA256。进入设置之后要设置应用公钥和保存支付宝公钥。

应用公钥和应用私钥,这两个需要自己生成一对,保证步骤 2 的安全。生成方式跳转支付宝开放平台开发助手。

支付宝公钥和支付宝私钥是支付宝提供的,私钥支付宝自己保留的,和自己服务器的应用私钥一样,人家不会提供出来。公钥复制下来用于在回调时进行签名的认证。

 

对称加密

签名虽然可以防止中间人的信息篡改,但是无法防止中间人信息查看。比如步骤 2 中,向支付宝发送的商品金额,中间人即可获取每天中该商家交易的金额。

信息在网络中传输感觉是一个虚无缥缈的过程,网络中信息有可能被不法分子进行拦截。

因此在支付的过程中,会推荐使用 HTTPS 协议进行交互,使得交互的信息加密传输。

而且,支付宝的很多接口还支持使用 AES 加密之后进行传输,使得信息更加安全。

AES 加密是一种对称加密算法,对称加密算法相对于非对称加密要简单一点。系统间只存在一个密钥,这个密钥可以用来加密也可以用来解密。

在与支付宝交互的信息可以通过 AES 加密。防止信息的泄露,官方对接口的解释如下:

AES 和 RSA 关系

AES 密钥是对接口请求和响应内容进行加密,密文无法被第三方识别,从而防止接口传输数据泄露。

RSA 密钥是对接口请求和响应内容进行签名,开发者和支付宝开放平台分别加签验签,以确认接口传输的内容没有被篡改。不论接口内容是明文还是密文,RSA 均可正常签名。

开发者可对请求参数先做 AES 加密,然后对密文进行 RSA 签名。

作者:叁滴水 

编辑:陶家龙

征稿:有投稿、寻求报道意向技术人请添加小编微信 gordonlonglong

 

 

来源:51CTO技术栈内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯