文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Java中的微信支付之一:API V3版本签名详解

2024-12-14 05:08

关注

 1. 前言

最近在折腾微信支付,证书还是比较烦人的,所以有必要分享一些经验,减少你在开发微信支付时的踩坑。目前微信支付的 API 已经发展到V3版本,采用了流行的 Restful 风格。

微信支付V2与V3的区别

 

今天来分享微信支付的难点——签名,虽然有很多好用的 SDK 但是如果你想深入了解微信支付还是有帮助的。

2. API 证书

为了保证资金敏感数据的安全性,确保我们业务中的资金往来交易万无一失。目前微信支付第三方签发的权威的 CA 证书(API 证书)中提供的私钥来进行签名。通过商户平台你可以设置并获取 API 证书。

API证书

 

切记在第一次设置的时候会提示下载,后面就不再提供下载了,具体参考说明。

API证书说明

 

设置后找到zip压缩包解压,里面有很多文件,对于 JAVA 开发来说只需要关注apiclient_cert.p12这个证书文件就行了,它包含了公私钥,我们需要把它放在服务端并利用 Java 解析.p12文件获取公钥私钥。

务必保证证书在服务器端的安全,它涉及到资金安全。

解析 API 证书

接下来就是证书的解析了,证书的解析有网上很多方法,这里我使用比较“正规”的方法来解析,利用 JDK 安全包的java.security.KeyStore来解析。

微信支付 API 证书使用了PKCS12算法,我们通过KeyStore来获取公私钥对的载体KeyPair以及证书序列号serialNumber,我封装了工具类(序列号你自己处理):

  1. import org.springframework.core.io.ClassPathResource; 
  2.  
  3. import java.security.KeyPair; 
  4. import java.security.KeyStore; 
  5. import java.security.PrivateKey; 
  6. import java.security.PublicKey; 
  7. import java.security.cert.X509Certificate; 
  8.  
  9.  
  10. public class KeyPairFactory { 
  11.  
  12.     private KeyStore store; 
  13.  
  14.     private final Object lock = new Object(); 
  15.  
  16.      
  17.     public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) { 
  18.         ClassPathResource resource = new ClassPathResource(keyPath); 
  19.         char[] pem = keyPass.toCharArray(); 
  20.         try { 
  21.             synchronized (lock) { 
  22.                 if (store == null) { 
  23.                     synchronized (lock) { 
  24.                         store = KeyStore.getInstance("PKCS12"); 
  25.                         store.load(resource.getInputStream(), pem); 
  26.                     } 
  27.                 } 
  28.             } 
  29.             X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias); 
  30.             certificate.checkValidity(); 
  31.             // 证书的序列号 也有用 
  32.             String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase(); 
  33.             // 证书的 公钥 
  34.             PublicKey publicKey = certificate.getPublicKey(); 
  35.             // 证书的私钥 
  36.             PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem); 
  37.  
  38.             return new KeyPair(publicKey, storeKey); 
  39.  
  40.         } catch (Exception e) { 
  41.             throw new IllegalStateException("Cannot load keys from store: " + resource, e); 
  42.         } 
  43.     } 

眼熟的可以看出是胖哥 Spring Security 教程中 JWT 用的公私钥提取方法的修改版本,你可以对比下不同之处。

这个方法中有三个参数,这里必须要说明一下:

3. V3 签名

微信支付 V3 版本的签名是我们在调用具体的微信支付的 API 时在 HTTP 请求头中携带特定的编码串供微信支付服务器进行验证请求来源,确保请求是真实可信的。

签名格式

签名串的具体格式,一共五行一行也不能少,每一行以换行符\n结束。

  1. HTTP请求方法\n 
  2. URL\n 
  3. 请求时间戳\n 
  4. 请求随机串\n 
  5. 请求报文主体\n 

生成签名

然后我们使用商户私钥对按照上面格式的待签名串进行 SHA256 with RSA 签名,并对签名结果进行Base64 编码得到签名值。对应的核心 Java 代码为:

  1.  
  2. @SneakyThrows 
  3. String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair)  { 
  4.     String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body) 
  5.             .collect(Collectors.joining("\n""""\n")); 
  6.     Signature sign = Signature.getInstance("SHA256withRSA"); 
  7.     sign.initSign(keyPair.getPrivate()); 
  8.     sign.update(signatureStr.getBytes(StandardCharsets.UTF_8)); 
  9.     return Base64Utils.encodeToString(sign.sign()); 

4. 使用签名

签名生成后会同一些参数组成一个Token放置到对应 HTTP 请求的Authorization请求头中,格式为:

  1. Authorization: WECHATPAY2-SHA256-RSA2048 {Token} 

Token由以下五部分组成:

Token生成的核心代码:

  1.  
  2. String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) { 
  3.     final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\""
  4.     // 生成token 
  5.     return String.format(TOKEN_PATTERN, 
  6.             wechatPayProperties.getMchId(), 
  7.             nonceStr, timestamp, serialNo, signature); 

将生成的Token按照上述格式放入请求头中即可完成签名的使用。

5. 总结

本文我们对微信支付 V3 版本的难点签名以及签名的使用进行了完整的分析,同时对 API 证书的解析也进行了讲解,相信能够帮助你在支付开发中解决一些具体的问题。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

来源:码农小胖哥内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯