2. 程式人生 > >【支付寶小程式】PHP 獲取使用者敏感資訊手機號 驗籤解密 RSA解密 AES解密

【支付寶小程式】PHP 獲取使用者敏感資訊手機號 驗籤解密 RSA解密 AES解密

阿新 發佈:2019-01-11

需求

支付寶小程式端,獲取到加密的使用者手機號資料,需要經過服務端對資料進行解密,得到使用者的手機號

問題

使用者資訊為敏感資訊,需要用到敏感資訊加密解密方法中的方式進行解密

服務端為PHP,由於官方沒有對應的演示demo,經過摸索測試,還是出現了驗籤不通過,並且解密不成功的情況

解決過程

1.分析官方的java例項程式碼

String response = "小程式前端提交的";

//1. 獲取驗籤和解密所需要的引數
Map<String, String> openapiResult = JSON.parseObject(response,
            new
 
 TypeReference<Map<String, String>>() {
            }, Feature.OrderedField);
String signType = StringUtil.defaultIfBlank(openapiResult.get("signType"), "RSA2");
String charset = StringUtil.defaultIfBlank(openapiResult.get("charset"), "UTF-8");
String encryptType = StringUtil.defaultIfBlank
 
(openapiResult.get("encryptType"), "AES");
String sign = openapiResult.get("sign");
String content = openapiResult.get("response");

//如果密文的
boolean isDataEncrypted = !content.startsWith("{");
boolean signCheckPass = false;

//2. 驗籤
String signContent = content;
String signVeriKey = "你的小程式對應的支付寶公鑰(為擴充套件考慮建議用appId+signType做金鑰儲存隔離)"
 
;
String encryptType = "你的小程式對應的加解密金鑰(為擴充套件考慮建議用appId+encryptType做金鑰儲存隔離)"
//如果是加密的報文則需要在密文的前後新增雙引號
if (isDataEncrypted) {
    signContent = "\"" + signContent + "\"";
}
try {
    signCheckPass = AlipaySignature.rsaCheck(signContent, sign, signVeriKey, charset, signType);
} catch (AlipayApiException e) {
    //驗籤異常, 日誌
}
if(!signCheckPass) {
    //驗籤不通過(異常或者報文被篡改),終止流程(不需要做解密)
    throw new Exception("驗籤失敗");
}

//3. 解密
String plainData = null;
if (isDataEncrypted) {
    try {
        AlipayEncrypt.decryptContent(content, encryptType, decryptKey, charset);
    } catch (AlipayApiException e) {
        //解密異常, 記錄日誌
       throw new Exception("解密異常");
    }
} else {
    plainData = content;
}

直接翻譯這段程式碼為PHP的,並採用阿里雲的SDK呼叫核心的兩個方法。

經過不斷的嘗試,還是以失敗告終。

2.分析定位阿里雲SDK原始碼

阿里雲的SDK中,首先通用的初始化了AopClient,將小程式的引數在裡面初始化,其他操作並沒有。

經過檢查,AopClient中解密和校驗的程式碼如下

/** rsaCheckV1 & rsaCheckV2
	 *  驗證簽名
	 *  在使用本方法前,必須初始化AopClient且傳入公鑰引數。
	 *  公鑰是否是讀取字串還是讀取檔案,是根據初始化傳入的值判斷的。
	 **/
	public function rsaCheckV1($params, $rsaPublicKeyFilePath,$signType='RSA') {
		$sign = $params['sign'];
		$params['sign_type'] = null;
		$params['sign'] = null;
		return $this->verify($this->getSignContent($params), $sign, $rsaPublicKeyFilePath,$signType);
	}
	public function rsaCheckV2($params, $rsaPublicKeyFilePath, $signType='RSA') {
		$sign = $params['sign'];
		$params['sign'] = null;
		return $this->verify($this->getSignContent($params), $sign, $rsaPublicKeyFilePath, $signType);
	}

	function verify($data, $sign, $rsaPublicKeyFilePath, $signType = 'RSA') {

		if($this->checkEmpty($this->alipayPublicKey)){

			$pubKey= $this->alipayrsaPublicKey;
			$res = "-----BEGIN PUBLIC KEY-----\n" .
				wordwrap($pubKey, 64, "\n", true) .
				"\n-----END PUBLIC KEY-----";
		}else {
			//讀取公鑰檔案
			$pubKey = file_get_contents($rsaPublicKeyFilePath);
			//轉換為openssl格式金鑰
			$res = openssl_get_publickey($pubKey);
		}



		($res) or die('支付寶RSA公鑰錯誤。請檢查公鑰檔案格式是否正確');  

		//呼叫openssl內建方法驗籤,返回bool值

		$result = FALSE;
		if ("RSA2" == $signType) {
			$result = (openssl_verify($data, base64_decode($sign), $res, OPENSSL_ALGO_SHA256)===1);;
		} else {
			$result = (openssl_verify($data, base64_decode($sign), $res)===1);
		}

		if(!$this->checkEmpty($this->alipayPublicKey)) {
			//釋放資源
			openssl_free_key($res);
		}

		return $result;
	}


/** 
	 *  在使用本方法前,必須初始化AopClient且傳入公私鑰引數。
	 *  公鑰是否是讀取字串還是讀取檔案,是根據初始化傳入的值判斷的。
	 **/
	public function rsaDecrypt($data, $rsaPrivateKeyPem = null, $charset = null) {
		
		if($this->checkEmpty($this->rsaPrivateKeyFilePath)){
			//讀字串
			$priKey=$this->rsaPrivateKey;
			$res = "-----BEGIN RSA PRIVATE KEY-----\n" .
				wordwrap($priKey, 64, "\n", true) .
				"\n-----END RSA PRIVATE KEY-----";
		}else {
			$priKey = file_get_contents($this->rsaPrivateKeyFilePath);
			$res = openssl_get_privatekey($priKey);
		}
		($res) or die('您使用的私鑰格式錯誤,請檢查RSA私鑰配置'); 
		//轉換為openssl格式金鑰
		$decodes = explode(',', $data);
		$strnull = "";
		$dcyCont = "";
		foreach ($decodes as $n => $decode) {
			if (!openssl_private_decrypt($decode, $dcyCont, $res)) {
				echo "<br/>" . openssl_error_string() . "<br/>";
			}
			$strnull .= $dcyCont;
		}
		return $strnull;
	}


function verify($data, $sign, $rsaPublicKeyFilePath, $signType = 'RSA') {

		if($this->checkEmpty($this->alipayPublicKey)){

			$pubKey= $this->alipayrsaPublicKey;
			$res = "-----BEGIN PUBLIC KEY-----\n" .
				wordwrap($pubKey, 64, "\n", true) .
				"\n-----END PUBLIC KEY-----";
		}else {
			//讀取公鑰檔案
			$pubKey = file_get_contents($rsaPublicKeyFilePath);
			//轉換為openssl格式金鑰
			$res = openssl_get_publickey($pubKey);
		}



		($res) or die('支付寶RSA公鑰錯誤。請檢查公鑰檔案格式是否正確');  

		//呼叫openssl內建方法驗籤,返回bool值

		$result = FALSE;
		if ("RSA2" == $signType) {
			$result = (openssl_verify($data, base64_decode($sign), $res, OPENSSL_ALGO_SHA256)===1);;
		} else {
			$result = (openssl_verify($data, base64_decode($sign), $res)===1);
		}

		if(!$this->checkEmpty($this->alipayPublicKey)) {
			//釋放資源
			openssl_free_key($res);
		}

		return $result;
	}

上面的程式碼分別對應的流程中的 驗籤、解密、校驗,通過一行一行執行,定位分析問題,最終定位到的為

$result = (openssl_verify($data, base64_decode($sign), $res, OPENSSL_ALGO_SHA256)===1);;

if (!openssl_private_decrypt($decode, $dcyCont, $res)) {
				echo "<br/>" . openssl_error_string() . "<br/>";
			}

也就是說openssl遇到的問題,這也和我在除錯過程中的報錯資訊展示一致

3.論壇&搜尋

通過查詢官方論壇和找到支付寶的官方客服,得到的都只有一句話

你好,解密方式:填充方式是AES/CBC/PKCS5Padding;偏移量全是0

那麼怎麼能用PHP實現AES/CBC/PKCS5Padding呢?

需要用到下面的類

class MagicCrypt {
    private $iv = "0102030405060708";//金鑰偏移量IV,可自定義
 
    private $encryptKey = "自定義16位長度key";//AESkey,可自定義
 
    //加密
    public function encrypt($encryptStr) {
        $localIV = $this->iv;
        $encryptKey = $this->encryptKey;
 
        //Open module
        $module = mcrypt_module_open(MCRYPT_RIJNDAEL_128, '', MCRYPT_MODE_CBC, $localIV);
 
        //print "module = $module <br/>" ;
 
        mcrypt_generic_init($module, $encryptKey, $localIV);
 
        //Padding
        $block = mcrypt_get_block_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC);
        $pad = $block - (strlen($encryptStr) % $block); //Compute how many characters need to pad
        $encryptStr .= str_repeat(chr($pad), $pad); // After pad, the str length must be equal to block or its integer multiples
 
        //encrypt
        $encrypted = mcrypt_generic($module, $encryptStr);
 
        //Close
        mcrypt_generic_deinit($module);
        mcrypt_module_close($module);
 
        return base64_encode($encrypted);
 
    }
 
    //解密
    public function decrypt($encryptStr) {
        $localIV = $this->iv;
        $encryptKey = $this->encryptKey;
 
        //Open module
        $module = mcrypt_module_open(MCRYPT_RIJNDAEL_128, '', MCRYPT_MODE_CBC, $localIV);
 
        //print "module = $module <br/>" ;
 
        mcrypt_generic_init($module, $encryptKey, $localIV);
 
        $encryptedData = base64_decode($encryptStr);
        $encryptedData = mdecrypt_generic($module, $encryptedData);

        return $encryptedData;
    }
}

但是,這個類中的mcrypt_module_open對應的擴充套件,在PHP7以上的版本就廢棄了,所以這個方法也是不能用的。 : (

解決方案

疑問1:微信小程式是小程式,支付寶小程式也是小程式,他們之間能不能有什麼關聯?
疑問2:我剛做完微信小程式的使用者資訊獲取,也是採用前端獲取加密資料傳給服務端,服務端解密的方式,那這之間有沒有什麼關聯?

帶著這些疑問,我重新看了下微信小程式提供的解析demo


class WXBizDataCrypt
{

    private $appid;
    private $sessionKey;

    /**
     * 建構函式
     * @param $sessionKey string 使用者在小程式登入後獲取的會話金鑰
     * @param $appid string 小程式的appid
     */
    public function __construct( $appid, $sessionKey)
    {
        $this->sessionKey = $sessionKey;
        $this->appid = $appid;
    }


    /**
     * 檢驗資料的真實性,並且獲取解密後的明文.
     * @param $encryptedData string 加密的使用者資料
     * @param $iv string 與使用者資料一同返回的初始向量
     * @param $data string 解密後的原文
     *
     * @return int 成功0,失敗返回對應的錯誤碼
     */
    public function decryptData( $encryptedData, $iv, &$data )
    {
        if (strlen($this->sessionKey) != 24) {
            return ErrorCode::$IllegalAesKey;
        }
        $aesKey=base64_decode($this->sessionKey);


        if (strlen($iv) != 24) {
            return ErrorCode::$IllegalIv;
        }
        $aesIV=base64_decode($iv);

        $aesCipher=base64_decode($encryptedData);

        $result=openssl_decrypt( $aesCipher, "AES-128-CBC", $aesKey, 1, $aesIV);

        $dataObj=json_decode( $result );
        if( $dataObj  == NULL )
        {
            return ErrorCode::$IllegalBuffer;
        }
        if( $dataObj->watermark->appid != $this->appid )
        {
            return ErrorCode::$IllegalBuffer;
        }
        $data = $result;
        return ErrorCode::$OK;
    }
}

相同點:

  • 都採用aes金鑰解密
  • 解決方案中都存在偏移量iv
    不同點:
  • 微信的aes金鑰為從登入code中拿到的sessionKey,支付寶為管理後臺隨機生成
  • 微信小程式校驗解密得到的資料中的watermark水印

由此可以得出一個大膽的想法,並由此得到一個修改之後的方法


public function decryptData( $encryptedData )
    {
        $key = '支付寶生成的aesKey';
        $aesKey=base64_decode($key);
        $iv = 0;

        $aesIV=base64_decode($iv);

        $aesCipher=base64_decode($encryptedData);

        $result=openssl_decrypt( $aesCipher, "AES-128-CBC", $aesKey, 1, $aesIV);
        
        return $result;
    }

經過親測有效,得到的資料為

{"code":"10000","msg":"Success","mobile":"使用者支付寶繫結的手機號"}

返回的結果和官方文件中的一致。

到此,支付寶獲取使用者敏感資訊的PHP後臺解密問題,已經解決。

參考資料

相關推薦

支付程式PHP 獲取使用者敏感資訊機號 解密 RSA解密 AES解密

需求 支付寶小程式端,獲取到加密的使用者手機號資料,需要經過服務端對資料進行解密,得到使用者的手機號 問題 使用者資訊為敏感資訊,需要用到敏感資訊加密解密方法中的方式進行解密 服務端為PHP,由於官方沒有對應的演示demo,經過摸索測試,還是出現了驗籤不通過,並且解密不成

重磅多多客將逐步支援百度、支付程式、H5、APP等,打造國內首家全平臺綜合開發服務平臺

重磅訊息 多多客小程式自發布以來,以視覺化拖拽、N+營銷應用、海量行業模板等優勢備受商家和開發者青睞。隨著支付寶、百度、抖音等頭部APP接連佈局小程式,以及青否服務的客戶中對H5、APP的持續需求。多多客將從微信小程式第三方平臺到逐步支援百度智慧小程式、支付寶小程式、H

【小程式社群】小程式社群提供微信小程式支付寶小程式相關的資訊、開發教程、開發指南、小程式DEMO等資源。小程式開發社群是國內微信小程式支付寶小程式開發的領先社群,這裡有最新的功能、最全的DEMO、最多的教程和最

小程式社群 小程式社群提供微信小程式和支付寶小程式相關的資訊、開發教程、開發指南、小程式DEMO等資源。小程式開發社群是國內微信小程式和支付寶小程式開發的領先社群,這裡有最新的功能、最全的DEMO、最多的教程和最...

微信程式c# 實現獲取openid、session_key 服務端

c#寫一個獲取微信小程式 openid和session_key 的方法。。 1,微信小程式端 // 登入 wx.login({ success: res => { // 傳送 res.code 到後臺換取 openId, sessionKey,

PHP實現支付程式使用者授權的工具類

背景 最近專案需要上線支付寶小程式,同時需要走使用者的授權流程完成使用者資訊的儲存,以前做過微信小程式的開發,本以為實現授權的過程是很簡單的事情,但是再實現的過程中還是遇到了不少的坑,因此記錄一下實現的過程 學到的知識 支付寶開放介面的呼叫模式以及實現方式 支付寶小程式授權的流程 RSA加密方式 吐

支付程式定義全域性變數,Token獲取並定義全域性變數

做支付小程式的時候,我們通常要進行配置全域性的Token進行定義,一般我們可以採取這樣的形式進行定義: 定義全域性變數的是app.js中設定 首先要定義一個 globalData:{ Token:'', IsExist:3, UserN

支付程式開發練習-重構,在app.js獲取使用者資訊(三)

支付寶小程式在前端只能獲取到使用者暱稱和頭像,但是這是遠遠不夠的,我們至少需要獲取到使用者的支付寶User ID,這個時候就必須在後端利用支付寶的SDK來獲取了,當然前端要發出 httprequest 請求,下面結合前兩篇的例子進行修改 支付寶小程式前端 app.js

支付程式開發練習-重構,在app.js獲取使用者資訊(二)

App({ getUserInfo(){ return new Promise((resovle,reject)=>{ if(this.userInfo) resovle(this.userInfo); //呼叫使用者授權 api 獲

[支付程式PHP全棧開發]二、前端樣式的設計.acss樣式詳解

關於.acss檔案 在視訊中已經說過了,小程式的設計思想和原生app的設計思想頗為相似,基本的應用單元為頁面。當然對於一個頁面來說每一個元素的放置位置在哪兒以及顯示成什麼樣子這個是由樣式來決定的。我們知道在web開發中樣式是在css檔案中規定的,叫做層

支付程式PHP全棧開發--前端樣式的設計.acss樣式詳解

關於.acss檔案 在視訊中已經說過了,小程式的設計思想和原生app的設計思想頗為相似,基本的應用單元為頁面。當然對於一個頁面來說每一個元素的放置位置在哪兒以及顯示成什麼樣子這個是由樣式來決定的。我們知道在web開發中樣式是在css檔案中規定的,叫做層疊樣式表 (Ca

微信程式在js中匯入第三方js或自己寫的js,使用外部js中的function的兩種方法 import和require的區別使用方法

如下 定義了一個外部js檔案,其中有一個function import lunaCommon from '../lunaCommon.js'; var ctx = wx.getStorageSync("ctx"); var filter = "/ms-code"; var apis

微信程式快速移植支付程式

 移植背景: 1. 支付寶小程式開發文件只瞭解了大致框架,跑了demo,具體Api、元件沒太多瞭解; 2. 已有微信小程式,移植支付寶小程式做預研(主要針對授權登入、支付等功能)。 3. 移植的微信小程式屬小型專案,頁面8個,元件兩個。首頁功能性較強,集成了主要的業務處理邏輯,涉及登

支付程式開發之與微信程式不同的地方

前言: 本文僅彙總微信小程式移植支付寶小程式過程中遇到的一些不同的地方,詳細請參考官方開發文件。 網路請求: 對於網路請求,基本上改動不大,也就支付寶小程式沒有responseType屬性及響應碼欄位改成了status。 使用者授權登入: 1. 登入: wx.login   ====&nb

Okam(奧卡姆):程式開發框架,支援百度程式、微信程式支付程式

Okam(奧卡姆):小程式開發框架,支援百度小程式、微信小程式、支付寶小程式 Okam 是什麼 `Okam` 一個面向小程式開發的開發框架,開發體驗類 `Vue`。詳情 Okam 對各小程式的支援情況 支援 百度小程式 支援 微信小程式 支援 支付寶小程式 Okam 提供

殭屍化的支付程式,將在BAT廝殺中出局

在BAT紛紛加入小程式戰場後,小程式市場確實越來越熱鬧了。當BAT小程式逐步開放,你會發現其實三家小程式都有他們獨特的屬性,並且他們的優劣勢也逐漸被人發現。 近日,極客公園釋出了一篇名為《BAT 的小程式大戰,誰更像贏家》的文章,其中提到支付寶小程式是一個難以火爆的計劃經濟。如果從戰略解讀,這個

微信程式--bindtap引數傳遞,配合wx.previewImage實現多張縮圖預覽

  本文為原創隨筆,純屬個人理解。如有錯誤,歡迎指出。 如需轉載請註明出處 在微信小程式中預覽圖片分為   a、預覽本地相簿中的圖片。   b、預覽某個wxml中的多張圖片。 分析:實質其實是一樣的。都是給wx.previewImage傳入引數

微信程式公共方法實現實時捕捉input輸入

專案中,一個表單中經常有好幾個input,但是微信小程式並不像vue那樣實現雙向繫結,所以我們要自己去實現當用戶輸入的時候,實時獲取使用者輸入的值。 方法比較簡單,就兩個步驟。 1.wxml <input data-name='form.base.name

全網首發 商業級支付程式入門與實戰

第1章 課程導學與準備工作 本章主要介紹為何學習支付寶小程式,以及開發支付寶小程式能為我們帶來哪些收穫。之後會為大家介紹本課程內容具體安排,最後給出如何學好這門課程的一些學習建議。希望大家都能通過這門課程,學有所成,學有所歸。 1-1 課程導學

微信程式在微信開發工具上七牛雲的圖片可以看到,但是在真機上看不到的原因解決

在開發微信小程式過程中,在微信開發者工具上,七牛雲的圖片都可以展示出來,但是在真機上,七牛雲的圖片卻展示不出來,也沒有報404找不到或者不能載入圖片的問題,     必須保證: 1.圖片是用image載入的; 2.圖片的url裡面沒有中文; 3.圖片的HTTP應為小寫的

淺談支付程式與微信程式開發的區別

淺談支付寶小程式與微信小程式開發的區別 一、app.json (1)設定小程式通用的的狀態列、導航條、標題、視窗背景色 支付寶小程式 "window": { "defaultTitle": "病案到家", //頁面標題 "titleBarColor": "#1