## 1. 前言 最近在折騰微信支付，證書還是比較煩人的，所以有必要分享一些經驗，減少你在開發微信支付時的踩坑。目前微信支付的API已經發展到**V3**版本，採用了流行的Restful風格。  今天來分享微信支付的難點——**簽名**，雖然有很多好用的SDK但是如果你想深入瞭解微信支付還是需要了解一下的。 ## 2. API證書 為了保證資金敏感資料的安全性，確保我們業務中的資金往來交易萬無一失。目前微信支付第三方簽發的權威的CA證書(API證書)中提供的**私鑰**來進行簽名。**通過商戶平臺你可以設定並獲取API證書**。  切記在第一次設定的時候會提示下載，後面就不再提供下載了，具體參考說明。  設定後找到`zip`壓縮包解壓，裡面有很多檔案，對於JAVA開發來說只需要關注`apiclient_cert.p12`這個證書檔案就行了，它包含了`公私鑰`，我們需要把它放在服務端並利用Java解析`.p12`檔案獲取公鑰私鑰。 > **務必保證證書在伺服器端的安全，它涉及到資金安全**。 ### 解析API證書 接下來就是證書的解析了，證書的解析有網上很多方法，這裡我使用比較“正規”的方法來解析，利用JDK安全包的`java.security.KeyStore`來解析。 微信支付API證書使用了`PKCS12`演算法，我們通過`KeyStore`來獲取公私鑰對的載體`KeyPair`以及證書序列號`serialNumber`，我封裝了工具類： ```java import org.springframework.core.io.ClassPathResource; import java.security.KeyPair; import java.security.KeyStore; import java.security.PrivateKey; import java.security.PublicKey; import java.security.cert.X509Certificate; /** * KeyPairFactory * * @author dax * @since 13:41 **/ public class KeyPairFactory { private KeyStore store; private final Object lock = new Object(); /** * 獲取公私鑰. * * @param keyPath the key path * @param keyAlias the key alias * @param keyPass password * @return the key pair */ public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) { ClassPathResource resource = new ClassPathResource(keyPath); char[] pem = keyPass.toCharArray(); try { synchronized (lock) { if (store == null) { synchronized (lock) { store = KeyStore.getInstance("PKCS12"); store.load(resource.getInputStream(), pem); } } } X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias); certificate.checkValidity(); // 證書的序列號 也有用 String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase(); // 證書的 公鑰 PublicKey publicKey = certificate.getPublicKey(); // 證書的私鑰 PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem); return new KeyPair(publicKey, storeKey); } catch (Exception e) { throw new IllegalStateException("Cannot load keys from store: " + resource, e); } } } ``` > 眼熟的可以看出是胖哥Spring Security教程中JWT用的公私鑰提取方法的修改版本，你可以對比下不同之處。 這個方法中有三個引數，這裡必須要說明一下： - `keyPath` API證書`apiclient_cert.p12`的`classpath`路徑,一般我們會放在`resources`路徑下，當然你可以修改獲取證書輸入流的方式。 - `keyAlias` 證書的別名，這個微信的文件是沒有的，胖哥通過載入證書時進行DEBUG獲取到該值固定為`Tenpay Certificate` 。 - `keyPass` 證書密碼，這個預設就是商戶號，在其它配置中也需要使用就是`mchid`，就是你用**超級管理員**登入微信商戶平臺在個人資料中的一串數字。 ## 3. V3簽名 **微信支付V3版本**的簽名是我們在呼叫具體的微信支付的API時在HTTP請求頭中攜帶特定的編碼串供微信支付伺服器進行驗證請求來源，確保請求是真實可信的。 ### 簽名格式 簽名串的具體格式，一共五行一行也不能少，每一行以換行符`\n`結束。 ``` HTTP請求方法\n URL\n 請求時間戳\n 請求隨機串\n 請求報文主體\n ``` - **HTTP請求方法** 你呼叫的微信支付API所要求的請求方法，比如APP支付為`POST`。 - **URL** 比如APP支付文件中為`https://api.mch.weixin.qq.com/v3/pay/transactions/app`，除去域名部分得到參與簽名的URL。如果請求中有查詢引數，URL末尾應附加有'?'和對應的查詢字串。這裡為`/v3/pay/transactions/app`。 - **請求時間戳** 伺服器系統時間戳，保證伺服器時間正確並利用`System.currentTimeMillis() / 1000`獲取即可。 - **請求隨機串** 找個工具類生成類似`593BEC0C930BF1AFEB40B4A08C8FB242`的字串就行了。 - **請求報文主體** 如果是**GET**請求直接為**空字元**`""` ；當請求方法為`POST`或`PUT`時，請使用**真實發送**的`JSON`報文。圖片上傳API，請使用`meta`對應的`JSON`報文。 ### 生成簽名 然後我們使用商戶私鑰對按照上面格式的**待簽名串**進行SHA256 with RSA簽名，並對簽名結果進行**Base64編碼**得到簽名值。對應的核心Java程式碼為： ```java /** * V3 SHA256withRSA 簽名. * * @param method 請求方法 GET POST PUT DELETE 等 * @param canonicalUrl 例如 https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1 * @param timestamp 當前時間戳 因為要配置到TOKEN 中所以 簽名中的要跟TOKEN 保持一致 * @param nonceStr 隨機字串 要和TOKEN中的保持一致 * @param body 請求體 GET 為 "" POST 為JSON * @param keyPair 商戶API 證書解析的金鑰對 實際使用的是其中的私鑰 * @return the string */ @SneakyThrows String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair) { String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body) .collect(Collectors.joining("\n", "", "\n")); Signature sign = Signature.getInstance("SHA256withRSA"); sign.initSign(keyPair.getPrivate()); sign.update(signatureStr.getBytes(StandardCharsets.UTF_8)); return Base64Utils.encodeToString(sign.sign()); } ``` ## 4. 使用簽名 簽名生成後會同一些引數組成一個`Token`放置到對應HTTP請求的`Authorization`請求頭中，格式為： ``` Authorization: WECHATPAY2-SHA256-RSA2048 {Token} ``` `Token`由以下五部分組成： - 發起請求的商戶（包括直連商戶、服務商或渠道商）的商戶號`mchid` - [商戶API證書]()序列號`serial_no`，用於[宣告所使用的證書]() - 請求隨機串`nonce_str` - 時間戳`timestamp` - 簽名值`signature` `Token`生成的核心程式碼： ```java /** * 生成Token. * * @param mchId 商戶號 * @param nonceStr 隨機字串 * @param timestamp 時間戳 * @param serialNo 證書序列號 * @param signature 簽名 * @return the string */ String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) { final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\""; // 生成token return String.format(TOKEN_PATTERN, wechatPayProperties.getMchId(), nonceStr, timestamp, serialNo, signature); } ``` 將生成的`Token`按照上述格式放入請求頭中即可完成簽名的使用。 ## 5. 總結 本文我們對微信支付V3版本的難點簽名以及簽名的使用進行了完整的分析，同時對API證書的解析也進行了講解，相信能夠幫助你在支付開發中解決一些具體的問題。後面有時間我還將對簽名的驗證進行講解，關注：**碼農小胖哥** 及時獲取系列知識。 `關注公眾號：Felordcn 獲取更多資訊` [個人部落格：https://felord.cn](https://felord.cn)