Java中的微信支付(1):API V3版本簽名詳解
阿新 • • 發佈:2020-10-27
![](https://img2020.cnblogs.com/other/1739473/202010/1739473-20201027122743032-1671834650.jpg)
## 1. 前言
最近在折騰微信支付,證書還是比較煩人的,所以有必要分享一些經驗,減少你在開發微信支付時的踩坑。目前微信支付的API已經發展到**V3**版本,採用了流行的Restful風格。
![微信支付V2與V3的區別](https://img2020.cnblogs.com/other/1739473/202010/1739473-20201027122743295-892645500.png)
今天來分享微信支付的難點——**簽名**,雖然有很多好用的SDK但是如果你想深入瞭解微信支付還是需要了解一下的。
## 2. API證書
為了保證資金敏感資料的安全性,確保我們業務中的資金往來交易萬無一失。目前微信支付第三方簽發的權威的CA證書(API證書)中提供的**私鑰**來進行簽名。**通過商戶平臺你可以設定並獲取API證書**。
![API證書](https://img2020.cnblogs.com/other/1739473/202010/1739473-20201027122743551-1805913009.png)
切記在第一次設定的時候會提示下載,後面就不再提供下載了,具體參考說明。
![API證書說明](https://img2020.cnblogs.com/other/1739473/202010/1739473-20201027122743727-1370480556.png)
設定後找到`zip`壓縮包解壓,裡面有很多檔案,對於JAVA開發來說只需要關注`apiclient_cert.p12`這個證書檔案就行了,它包含了`公私鑰`,我們需要把它放在服務端並利用Java解析`.p12`檔案獲取公鑰私鑰。
> **務必保證證書在伺服器端的安全,它涉及到資金安全**。
### 解析API證書
接下來就是證書的解析了,證書的解析有網上很多方法,這裡我使用比較“正規”的方法來解析,利用JDK安全包的`java.security.KeyStore`來解析。
微信支付API證書使用了`PKCS12`演算法,我們通過`KeyStore`來獲取公私鑰對的載體`KeyPair`以及證書序列號`serialNumber`,我封裝了工具類:
```java
import org.springframework.core.io.ClassPathResource;
import java.security.KeyPair;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.cert.X509Certificate;
/**
* KeyPairFactory
*
* @author dax
* @since 13:41
**/
public class KeyPairFactory {
private KeyStore store;
private final Object lock = new Object();
/**
* 獲取公私鑰.
*
* @param keyPath the key path
* @param keyAlias the key alias
* @param keyPass password
* @return the key pair
*/
public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) {
ClassPathResource resource = new ClassPathResource(keyPath);
char[] pem = keyPass.toCharArray();
try {
synchronized (lock) {
if (store == null) {
synchronized (lock) {
store = KeyStore.getInstance("PKCS12");
store.load(resource.getInputStream(), pem);
}
}
}
X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias);
certificate.checkValidity();
// 證書的序列號 也有用
String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase();
// 證書的 公鑰
PublicKey publicKey = certificate.getPublicKey();
// 證書的私鑰
PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem);
return new KeyPair(publicKey, storeKey);
} catch (Exception e) {
throw new IllegalStateException("Cannot load keys from store: " + resource, e);
}
}
}
```
> 眼熟的可以看出是胖哥Spring Security教程中JWT用的公私鑰提取方法的修改版本,你可以對比下不同之處。
這個方法中有三個引數,這裡必須要說明一下:
- `keyPath` API證書`apiclient_cert.p12`的`classpath`路徑,一般我們會放在`resources`路徑下,當然你可以修改獲取證書輸入流的方式。
- `keyAlias` 證書的別名,這個微信的文件是沒有的,胖哥通過載入證書時進行DEBUG獲取到該值固定為`Tenpay Certificate` 。
- `keyPass` 證書密碼,這個預設就是商戶號,在其它配置中也需要使用就是`mchid`,就是你用**超級管理員**登入微信商戶平臺在個人資料中的一串數字。
## 3. V3簽名
**微信支付V3版本**的簽名是我們在呼叫具體的微信支付的API時在HTTP請求頭中攜帶特定的編碼串供微信支付伺服器進行驗證請求來源,確保請求是真實可信的。
### 簽名格式
簽名串的具體格式,一共五行一行也不能少,每一行以換行符`\n`結束。
```
HTTP請求方法\n
URL\n
請求時間戳\n
請求隨機串\n
請求報文主體\n
```
- **HTTP請求方法** 你呼叫的微信支付API所要求的請求方法,比如APP支付為`POST`。
- **URL** 比如APP支付文件中為`https://api.mch.weixin.qq.com/v3/pay/transactions/app`,除去域名部分得到參與簽名的URL。如果請求中有查詢引數,URL末尾應附加有'?'和對應的查詢字串。這裡為`/v3/pay/transactions/app`。
- **請求時間戳** 伺服器系統時間戳,保證伺服器時間正確並利用`System.currentTimeMillis() / 1000`獲取即可。
- **請求隨機串** 找個工具類生成類似`593BEC0C930BF1AFEB40B4A08C8FB242`的字串就行了。
- **請求報文主體** 如果是**GET**請求直接為**空字元**`""` ;當請求方法為`POST`或`PUT`時,請使用**真實發送**的`JSON`報文。圖片上傳API,請使用`meta`對應的`JSON`報文。
### 生成簽名
然後我們使用商戶私鑰對按照上面格式的**待簽名串**進行SHA256 with RSA簽名,並對簽名結果進行**Base64編碼**得到簽名值。對應的核心Java程式碼為:
```java
/**
* V3 SHA256withRSA 簽名.
*
* @param method 請求方法 GET POST PUT DELETE 等
* @param canonicalUrl 例如 https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1
* @param timestamp 當前時間戳 因為要配置到TOKEN 中所以 簽名中的要跟TOKEN 保持一致
* @param nonceStr 隨機字串 要和TOKEN中的保持一致
* @param body 請求體 GET 為 "" POST 為JSON
* @param keyPair 商戶API 證書解析的金鑰對 實際使用的是其中的私鑰
* @return the string
*/
@SneakyThrows
String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair) {
String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body)
.collect(Collectors.joining("\n", "", "\n"));
Signature sign = Signature.getInstance("SHA256withRSA");
sign.initSign(keyPair.getPrivate());
sign.update(signatureStr.getBytes(StandardCharsets.UTF_8));
return Base64Utils.encodeToString(sign.sign());
}
```
## 4. 使用簽名
簽名生成後會同一些引數組成一個`Token`放置到對應HTTP請求的`Authorization`請求頭中,格式為:
```
Authorization: WECHATPAY2-SHA256-RSA2048 {Token}
```
`Token`由以下五部分組成:
- 發起請求的商戶(包括直連商戶、服務商或渠道商)的商戶號`mchid`
- [商戶API證書]()序列號`serial_no`,用於[宣告所使用的證書]()
- 請求隨機串`nonce_str`
- 時間戳`timestamp`
- 簽名值`signature`
`Token`生成的核心程式碼:
```java
/**
* 生成Token.
*
* @param mchId 商戶號
* @param nonceStr 隨機字串
* @param timestamp 時間戳
* @param serialNo 證書序列號
* @param signature 簽名
* @return the string
*/
String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) {
final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\"";
// 生成token
return String.format(TOKEN_PATTERN,
wechatPayProperties.getMchId(),
nonceStr, timestamp, serialNo, signature);
}
```
將生成的`Token`按照上述格式放入請求頭中即可完成簽名的使用。
## 5. 總結
本文我們對微信支付V3版本的難點簽名以及簽名的使用進行了完整的分析,同時對API證書的解析也進行了講解,相信能夠幫助你在支付開發中解決一些具體的問題。後面有時間我還將對簽名的驗證進行講解,關注:**碼農小胖哥** 及時獲取系列知識。
`關注公眾號:Felordcn 獲取更多資訊`
[個人部落格:https://felord.cn](https://felord.cn)