51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Java中的微信支付之一:API V3版本签名详解

作者:码农小胖哥
开发 后端
最近在折腾微信支付,证书还是比较烦人的,所以有必要分享一些经验,减少你在开发微信支付时的踩坑。目前微信支付的 API 已经发展到V3版本,采用了流行的 Restful 风格。

[[348703]]

 1. 前言

最近在折腾微信支付,证书还是比较烦人的,所以有必要分享一些经验,减少你在开发微信支付时的踩坑。目前微信支付的 API 已经发展到V3版本,采用了流行的 Restful 风格。

微信支付V2与V3的区别

 

今天来分享微信支付的难点——签名,虽然有很多好用的 SDK 但是如果你想深入了解微信支付还是有帮助的。

2. API 证书

为了保证资金敏感数据的安全性,确保我们业务中的资金往来交易万无一失。目前微信支付第三方签发的权威的 CA 证书(API 证书)中提供的私钥来进行签名。通过商户平台你可以设置并获取 API 证书。

API证书

 

切记在第一次设置的时候会提示下载,后面就不再提供下载了,具体参考说明。

API证书说明

 

设置后找到zip压缩包解压,里面有很多文件,对于 JAVA 开发来说只需要关注apiclient_cert.p12这个证书文件就行了,它包含了公私钥,我们需要把它放在服务端并利用 Java 解析.p12文件获取公钥私钥。

务必保证证书在服务器端的安全,它涉及到资金安全。

解析 API 证书

接下来就是证书的解析了,证书的解析有网上很多方法,这里我使用比较“正规”的方法来解析,利用 JDK 安全包的java.security.KeyStore来解析。

微信支付 API 证书使用了PKCS12算法,我们通过KeyStore来获取公私钥对的载体KeyPair以及证书序列号serialNumber,我封装了工具类(序列号你自己处理):

  1. import org.springframework.core.io.ClassPathResource; 
  2.  
  3. import java.security.KeyPair; 
  4. import java.security.KeyStore; 
  5. import java.security.PrivateKey; 
  6. import java.security.PublicKey; 
  7. import java.security.cert.X509Certificate; 
  8.  
  9. /** 
  10.  * KeyPairFactory 
  11.  * 
  12.  * @author dax 
  13.  * @since 13:41 
  14.  **/ 
  15. public class KeyPairFactory { 
  16.  
  17.     private KeyStore store; 
  18.  
  19.     private final Object lock = new Object(); 
  20.  
  21.     /** 
  22.      * 获取公私钥. 
  23.      * 
  24.      * @param keyPath  the key path 
  25.      * @param keyAlias the key alias 
  26.      * @param keyPass  password 
  27.      * @return the key pair 
  28.      */ 
  29.     public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) { 
  30.         ClassPathResource resource = new ClassPathResource(keyPath); 
  31.         char[] pem = keyPass.toCharArray(); 
  32.         try { 
  33.             synchronized (lock) { 
  34.                 if (store == null) { 
  35.                     synchronized (lock) { 
  36.                         store = KeyStore.getInstance("PKCS12"); 
  37.                         store.load(resource.getInputStream(), pem); 
  38.                     } 
  39.                 } 
  40.             } 
  41.             X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias); 
  42.             certificate.checkValidity(); 
  43.             // 证书的序列号 也有用 
  44.             String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase(); 
  45.             // 证书的 公钥 
  46.             PublicKey publicKey = certificate.getPublicKey(); 
  47.             // 证书的私钥 
  48.             PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem); 
  49.  
  50.             return new KeyPair(publicKey, storeKey); 
  51.  
  52.         } catch (Exception e) { 
  53.             throw new IllegalStateException("Cannot load keys from store: " + resource, e); 
  54.         } 
  55.     } 

眼熟的可以看出是胖哥 Spring Security 教程中 JWT 用的公私钥提取方法的修改版本,你可以对比下不同之处。

这个方法中有三个参数,这里必须要说明一下:

  • keyPath API 证书apiclient_cert.p12的classpath路径,一般我们会放在resources路径下,当然你可以修改获取证书输入流的方式。
  • keyAlias 证书的别名,这个微信的文档是没有的,胖哥通过加载证书时进行 DEBUG 获取到该值固定为Tenpay Certificate 。
  • keyPass 证书密码,这个默认就是商户号,在其它配置中也需要使用就是mchid,就是你用超级管理员登录微信商户平台在个人资料中的一串数字。

3. V3 签名

微信支付 V3 版本的签名是我们在调用具体的微信支付的 API 时在 HTTP 请求头中携带特定的编码串供微信支付服务器进行验证请求来源,确保请求是真实可信的。

签名格式

签名串的具体格式,一共五行一行也不能少,每一行以换行符\n结束。

  1. HTTP请求方法\n 
  2. URL\n 
  3. 请求时间戳\n 
  4. 请求随机串\n 
  5. 请求报文主体\n 
  • HTTP 请求方法 你调用的微信支付 API 所要求的请求方法,比如 APP 支付为POST。
  • URL 比如 APP 支付文档中为https://api.mch.weixin.qq.com/v3/pay/transactions/app,除去域名部分得到参与签名的 URL。如果请求中有查询参数,URL 末尾应附加有'?'和对应的查询字符串。这里为/v3/pay/transactions/app。
  • 请求时间戳 服务器系统时间戳,保证服务器时间正确并利用System.currentTimeMillis() / 1000获取即可。
  • 请求随机串 找个工具类生成类似593BEC0C930BF1AFEB40B4A08C8FB242的字符串就行了。
  • 请求报文主体 如果是GET请求直接为空字符"" ;当请求方法为POST或PUT时,请使用真实发送的JSON报文。图片上传 API,请使用meta对应的JSON报文。

生成签名

然后我们使用商户私钥对按照上面格式的待签名串进行 SHA256 with RSA 签名,并对签名结果进行Base64 编码得到签名值。对应的核心 Java 代码为:

  1. /** 
  2.  * V3  SHA256withRSA 签名. 
  3.  * 
  4.  * @param method       请求方法  GET  POST PUT DELETE 等 
  5.  * @param canonicalUrl 例如  https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1 
  6.  * @param timestamp    当前时间戳   因为要配置到TOKEN 中所以 签名中的要跟TOKEN 保持一致 
  7.  * @param nonceStr     随机字符串  要和TOKEN中的保持一致 
  8.  * @param body         请求体 GET 为 "" POST 为JSON 
  9.  * @param keyPair      商户API 证书解析的密钥对  实际使用的是其中的私钥 
  10.  * @return the string 
  11.  */ 
  12. @SneakyThrows 
  13. String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair)  { 
  14.     String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body) 
  15.             .collect(Collectors.joining("\n""""\n")); 
  16.     Signature sign = Signature.getInstance("SHA256withRSA"); 
  17.     sign.initSign(keyPair.getPrivate()); 
  18.     sign.update(signatureStr.getBytes(StandardCharsets.UTF_8)); 
  19.     return Base64Utils.encodeToString(sign.sign()); 

4. 使用签名

签名生成后会同一些参数组成一个Token放置到对应 HTTP 请求的Authorization请求头中,格式为:

  1. Authorization: WECHATPAY2-SHA256-RSA2048 {Token} 

Token由以下五部分组成:

  • 发起请求的商户(包括直连商户、服务商或渠道商)的商户号mchid
  • 商户 API 证书序列号serial_no,用于声明所使用的证书
  • 请求随机串nonce_str
  • 时间戳timestamp
  • 签名值signature

Token生成的核心代码:

  1. /** 
  2.  * 生成Token. 
  3.  * 
  4.  * @param mchId 商户号 
  5.  * @param nonceStr   随机字符串 
  6.  * @param timestamp  时间戳 
  7.  * @param serialNo   证书序列号 
  8.  * @param signature  签名 
  9.  * @return the string 
  10.  */ 
  11. String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) { 
  12.     final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\""
  13.     // 生成token 
  14.     return String.format(TOKEN_PATTERN, 
  15.             wechatPayProperties.getMchId(), 
  16.             nonceStr, timestamp, serialNo, signature); 

将生成的Token按照上述格式放入请求头中即可完成签名的使用。

5. 总结

本文我们对微信支付 V3 版本的难点签名以及签名的使用进行了完整的分析,同时对 API 证书的解析也进行了讲解,相信能够帮助你在支付开发中解决一些具体的问题。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
JavaAPI V3支付
相关推荐
支付V3版本集成详解【避坑指南】
V3版本的集成,官方文档还是比较清晰的,但各类的配置,一个不小心就掉坑里半天爬不出来。趁着思路清晰,特此记录一下。

2023-11-17 18:17:33

微信支付V3版本
ASP.NET调用V3版本Google Maps API
百度地图API接口想必大家都很熟悉了,本文将给大家介绍GoogleMapsAPI(V3版本)使用的文章。也是一种开阔思路的文章。

2011-12-02 09:59:29

API
P3-weixin-2.0.1版本发布,JAVA 插件框架
P3Weixin是轻量级Java插件开发框架,采用主流JAVA技术,集成强大代码生成器,增删改查一键生成,封装统一后台管理系统,不仅适用于微信插件开发,同样适用于企业项目开发。

2015-10-30 10:24:31

JAVA微信插件框架
支付实践
通过代码的调用跨过没有自己服务器的弊端先测试是否可以跑通代码与微信支付demo绝对不一样

2016-03-04 10:29:51

微信支付源码
发布8.0.5版本键冻结好友,再不怕丢手机
从诞生之日起,微信就不是一个完美的应用。但作为微信较早一批的“老用户”,小趣还是看着微信一步一步的更新成长为今天的样子。这不,微信又发布了最新8.0.5的iOS版本更新。这次的更新在安全性上有重大升级,让小趣来带你看一看吧!

2021-04-27 14:59:13

微信一键冻结手机
NFS V3与各个版本比较
文章中,我们对NFS协议的各个版本都做了介绍,但是我们主要进行比较的则是NFSV3的内容。下面我们来对这方面的具体内容进行一下介绍。

2010-07-30 13:17:33

NFS V3
Windows升级3.3.0版本:可浏览朋友圈搜搜进化
微信3.3.0forWindows全新发布,新版本不但可以浏览朋友圈,还可以在搜一搜中搜索公众号、小程序、表情、视频、文章等内容。

2021-06-21 09:24:40

微信朋友圈Windows版
进入云时代——疯客栈迎来v3.1版本更新
备受好评的WindowsPhone第三方软件推荐平台“微疯客栈”日前推出了其版本v3.1.0,虽然只是一个“小版本”更新,但是这次更新加入的功能实在是重量级。微疯客栈v3.1版本更新特征:1,可接受推送将微疯客栈pin到桌面后,开启推送,即能接受每日推荐的应用;2,二维码扫描的加入在微疯客“疯资源”频道下载软件时,不用另外安装第三方二维码扫描软件,客栈自...

2012-05-28 15:25:40

微疯客栈
创天推出私有云存储V2.0版本
日前,国内桌面虚拟化厂商北京和信创天科技有限公司,隆重宣布其"云存储"产品V2.0新版本通过近3个月的严格测试,已于今日正式上线。

2013-03-25 16:07:13

和信创天云存储
基于H5支付开发详解
这次总结一下用户在微信内打开网页时,可以调用微信支付完成下单功能的模块开发,也就是在微信内的H5页面通过jsApi接口实现支付功能。当然了,微信官网上的微信支付开发文档也讲解的很详细,并且有实现代码可供参考,有的朋友直接看文档就可以自己实现此支付接口的开发了。

2015-11-10 11:38:06

Java 8时间API初探之一
Java8目前已经开始进入大众的视线,其中笔者在写本文之前,留意到其中Java8预览版中将会出现新的关于日期和时间的API(遵守JSR310规范)。在本系列文章中,将对这些新的API进行举例说明。首先在本文中,将先介绍以下几个:Instant,LocalDate,LocalTime和LocalDateTime。

2013-07-19 09:50:10

Java8API
云锁联合首发,wdCP V3正式发布
wdCP是WDlinuxControlPanel的简称,是一套通过WEB界面就可以控制和管理Linux云主机服务器以及虚拟主机的管理系统,旨在易于使用Linux系统做为我们的网站服务器系统,以及平时对Linux服务器的常用管理操作均可在wdCP的WEB后台里操作就可以完成。

2016-04-21 11:12:25

云锁cloud云计算
最新8.0.15版本更新,新增四大变化
恰逢国庆小长假,微信官方团队对新版本的更新频繁似乎要比之前快一些,赶在国庆节前推出了最新安卓8.0.15版本。

2021-10-04 14:59:35

微信手机安卓
OpenStack发布Essex-3版本
OpenStack社区于1月26日号顺利发布Essex3(E3)。此次发布包含云计算控制中心Nova、镜像服务Glance、认证服务Keystone和Dashboard项目Horizon,也包括对象存储项目Swift,Swift1.4.5版本是1月12日发布的。目前OpenStack旗下主要就是以上五大项目,其中Keystone和Horizon是自Essex开始成为OpenStack核心项目的。

2012-05-17 13:28:08

OpenStack
Cocos Studio for Windows v1.5.0.1版本发布
游戏行业的快速发展对游戏质量的要求越来越高,开发人员的效率问题也变的尤为重要。以“高效率,低成本”为产品宗旨的CocosStudio团队持续收集用户反馈,优化产品,于7月15日发布了CocosStudioforWindowsv1.5.0.1版本。

2014-07-16 17:57:50

Cocos
RADVISION推出SCOPIA Mobile V3
近日,RADVISIONLtd宣布推出业内首个针对AppleiOS及GoogleAndroid设备的视频会议应用方案——SCOPIAMobileV3。

2011-05-20 07:52:54

RADVISIONSCOPIA Mobi
剧透:正在内测5.5版本加入微视频功能
微信已经开始内测5.5新版本了。内部体验版让参与内测的腾讯员工可以在微信上发送一些新样式的信息,而外人点进去看到的则是“剧透到此为止”。事实上,这个微信正在测试的新功能就是微视频。

2014-09-25 10:58:25

微信5.5内测微视频
闲扯详解Ubuntu 9.10版本云计算
Ubuntu9.10版本发布之后,所有Ubuntu用户将均可享受这种服务。只要你仔细想想就不难发现,Ubuntu9.10版本会把成千上万的Ubuntu用户带入一种什么样的新境界。

2009-12-29 10:12:27

Ubuntu 9.10
Windows 7 build 7022版本改变详解
装完到现在用了有这么一段时间,发现7022改变真的很大,很值得7000的用户再次升级。现在说明一下我发现的变化

2009-02-16 09:46:45

Windows 7 b改变详解
盘点 Chrome 插件开发那些关键点!
本篇文章将基于v3版本,盘点Chrome插件开发中的一些关键点供大家进行参考。

2022-03-27 20:52:41

Chrome插件开发
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服