Java中的微信支付之一:API V3版本簽名詳解
1. 前言
最近在折騰微信支付,證書還是比較煩人的,所以有必要分享一些經驗,減少你在開發微信支付時的踩坑。目前微信支付的 API 已經發展到V3版本,采用了流行的 Restful 風格。
微信支付V2與V3的區別
今天來分享微信支付的難點——簽名,雖然有很多好用的 SDK 但是如果你想深入了解微信支付還是有幫助的。
2. API 證書
為了保證資金敏感數據的安全性,確保我們業務中的資金往來交易萬無一失。目前微信支付第三方簽發的權威的 CA 證書(API 證書)中提供的私鑰來進行簽名。通過商戶平臺你可以設置并獲取 API 證書。
API證書
切記在第一次設置的時候會提示下載,后面就不再提供下載了,具體參考說明。
API證書說明
設置后找到zip壓縮包解壓,里面有很多文件,對于 JAVA 開發來說只需要關注apiclient_cert.p12這個證書文件就行了,它包含了公私鑰,我們需要把它放在服務端并利用 Java 解析.p12文件獲取公鑰私鑰。
務必保證證書在服務器端的安全,它涉及到資金安全。
解析 API 證書
接下來就是證書的解析了,證書的解析有網上很多方法,這里我使用比較“正規”的方法來解析,利用 JDK 安全包的java.security.KeyStore來解析。
微信支付 API 證書使用了PKCS12算法,我們通過KeyStore來獲取公私鑰對的載體KeyPair以及證書序列號serialNumber,我封裝了工具類(序列號你自己處理):
- import org.springframework.core.io.ClassPathResource;
- import java.security.KeyPair;
- import java.security.KeyStore;
- import java.security.PrivateKey;
- import java.security.PublicKey;
- import java.security.cert.X509Certificate;
- /**
- * KeyPairFactory
- *
- * @author dax
- * @since 13:41
- **/
- public class KeyPairFactory {
- private KeyStore store;
- private final Object lock = new Object();
- /**
- * 獲取公私鑰.
- *
- * @param keyPath the key path
- * @param keyAlias the key alias
- * @param keyPass password
- * @return the key pair
- */
- public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) {
- ClassPathResource resource = new ClassPathResource(keyPath);
- char[] pem = keyPass.toCharArray();
- try {
- synchronized (lock) {
- if (store == null) {
- synchronized (lock) {
- store = KeyStore.getInstance("PKCS12");
- store.load(resource.getInputStream(), pem);
- }
- }
- }
- X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias);
- certificate.checkValidity();
- // 證書的序列號 也有用
- String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase();
- // 證書的 公鑰
- PublicKey publicKey = certificate.getPublicKey();
- // 證書的私鑰
- PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem);
- return new KeyPair(publicKey, storeKey);
- } catch (Exception e) {
- throw new IllegalStateException("Cannot load keys from store: " + resource, e);
- }
- }
- }
眼熟的可以看出是胖哥 Spring Security 教程中 JWT 用的公私鑰提取方法的修改版本,你可以對比下不同之處。
這個方法中有三個參數,這里必須要說明一下:
- keyPath API 證書apiclient_cert.p12的classpath路徑,一般我們會放在resources路徑下,當然你可以修改獲取證書輸入流的方式。
- keyAlias 證書的別名,這個微信的文檔是沒有的,胖哥通過加載證書時進行 DEBUG 獲取到該值固定為Tenpay Certificate 。
- keyPass 證書密碼,這個默認就是商戶號,在其它配置中也需要使用就是mchid,就是你用超級管理員登錄微信商戶平臺在個人資料中的一串數字。
3. V3 簽名
微信支付 V3 版本的簽名是我們在調用具體的微信支付的 API 時在 HTTP 請求頭中攜帶特定的編碼串供微信支付服務器進行驗證請求來源,確保請求是真實可信的。
簽名格式
簽名串的具體格式,一共五行一行也不能少,每一行以換行符\n結束。
- HTTP請求方法\n
- URL\n
- 請求時間戳\n
- 請求隨機串\n
- 請求報文主體\n
- HTTP 請求方法 你調用的微信支付 API 所要求的請求方法,比如 APP 支付為POST。
- URL 比如 APP 支付文檔中為https://api.mch.weixin.qq.com/v3/pay/transactions/app,除去域名部分得到參與簽名的 URL。如果請求中有查詢參數,URL 末尾應附加有'?'和對應的查詢字符串。這里為/v3/pay/transactions/app。
- 請求時間戳 服務器系統時間戳,保證服務器時間正確并利用System.currentTimeMillis() / 1000獲取即可。
- 請求隨機串 找個工具類生成類似593BEC0C930BF1AFEB40B4A08C8FB242的字符串就行了。
- 請求報文主體 如果是GET請求直接為空字符"" ;當請求方法為POST或PUT時,請使用真實發送的JSON報文。圖片上傳 API,請使用meta對應的JSON報文。
生成簽名
然后我們使用商戶私鑰對按照上面格式的待簽名串進行 SHA256 with RSA 簽名,并對簽名結果進行Base64 編碼得到簽名值。對應的核心 Java 代碼為:
- /**
- * V3 SHA256withRSA 簽名.
- *
- * @param method 請求方法 GET POST PUT DELETE 等
- * @param canonicalUrl 例如 https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1
- * @param timestamp 當前時間戳 因為要配置到TOKEN 中所以 簽名中的要跟TOKEN 保持一致
- * @param nonceStr 隨機字符串 要和TOKEN中的保持一致
- * @param body 請求體 GET 為 "" POST 為JSON
- * @param keyPair 商戶API 證書解析的密鑰對 實際使用的是其中的私鑰
- * @return the string
- */
- @SneakyThrows
- String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair) {
- String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body)
- .collect(Collectors.joining("\n", "", "\n"));
- Signature sign = Signature.getInstance("SHA256withRSA");
- sign.initSign(keyPair.getPrivate());
- sign.update(signatureStr.getBytes(StandardCharsets.UTF_8));
- return Base64Utils.encodeToString(sign.sign());
- }
4. 使用簽名
簽名生成后會同一些參數組成一個Token放置到對應 HTTP 請求的Authorization請求頭中,格式為:
- Authorization: WECHATPAY2-SHA256-RSA2048 {Token}
Token由以下五部分組成:
- 發起請求的商戶(包括直連商戶、服務商或渠道商)的商戶號mchid
- 商戶 API 證書序列號serial_no,用于聲明所使用的證書
- 請求隨機串nonce_str
- 時間戳timestamp
- 簽名值signature
Token生成的核心代碼:
- /**
- * 生成Token.
- *
- * @param mchId 商戶號
- * @param nonceStr 隨機字符串
- * @param timestamp 時間戳
- * @param serialNo 證書序列號
- * @param signature 簽名
- * @return the string
- */
- String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) {
- final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\"";
- // 生成token
- return String.format(TOKEN_PATTERN,
- wechatPayProperties.getMchId(),
- nonceStr, timestamp, serialNo, signature);
- }
將生成的Token按照上述格式放入請求頭中即可完成簽名的使用。
5. 總結
本文我們對微信支付 V3 版本的難點簽名以及簽名的使用進行了完整的分析,同時對 API 證書的解析也進行了講解,相信能夠幫助你在支付開發中解決一些具體的問題。
本文轉載自微信公眾號「碼農小胖哥」,可以通過以下二維碼關注。轉載本文請聯系碼農小胖哥公眾號。
