难点
本次开发中主要的难点在于使用php生成sm2国密签名, 银行方面并没有专门的文档, 只给到一个java代码示例, 后续跟银行方开发要了一组数据和使用这组数据生成的sign (正是这组数据使开发过程走入了误区)
php类库
本次开发中使用了类库
composer require yuansir/php-gmssl误区
在php代码中存在配置
// 是否固定签名不随机,好处是同一段参数的签名固定,增大别人的猜测的难度,// 同样的key + document每次签名是一样的,如果为false则每次不一样protected $useDerandomizedSignatures = true;由注释可知当设置成false时相同参数每次生成的sign也是不同的
而之前银行方面给到的那组数据和sign一直作为了我们调试过程中是否正确的标准, 导致浪费了大量的时间,最后找java的朋友跑起了那段demo才发现这个问题每次sign都不一样,因此次数设置为
// 是否固定签名不随机,好处是同一段参数的签名固定,增大别人的猜测的难度,// 同样的key + document每次签名是一样的,如果为false则每次不一样protected $useDerandomizedSignatures = false;关键
当然使用类库的
$sign = $sm2->doSign($data, $sm2Secret)生成sign依然是不够的,如果给到的秘钥是base64格式还需要使用
$sign = $sm2->doSign($data, bin2hex(base64_decode($sm2Secret))以上生成的sign依然无法验签通过,还需要进一步处理
$sign = $sm2->doSign($data, bin2hex(base64_decode($sm2Secret)));//关键$sign = base64_decode($sign);$a = ASNObject::fromBinary($sign)->getChildren();$aa = self::formatHex($a[0]->getContent());$bb = self::formatHex($a[1]->getContent());$sign = $aa . $bb;$sign = base64_encode(hex2bin($sign));public static function formatHex($dec){ $hex = gmp_strval(gmp_init($dec, 10), 16); $len = strlen($hex); if ($len == 64) { return $hex; } if ($len < 64) { $hex = str_pad($hex, 64, '0', STR_PAD_LEFT); } else { $hex = substr($hex, $len - 64, 64); } return $hex;}此时拿到的sign才可以通过验签
来源地址:https://blog.csdn.net/wolegequ1993/article/details/130368397
