[[348703]]

 1. 前言

最近在折騰微信支付，證書還是比較煩人的，所以有必要分享一些經(jīng)驗，減少你在開發(fā)微信支付時的踩坑。目前微信支付的 API 已經(jīng)發(fā)展到V3版本，采用了流行的 Restful 風(fēng)格。

微信支付V2與V3的區(qū)別

今天來分享微信支付的難點——簽名，雖然有很多好用的 SDK 但是如果你想深入了解微信支付還是有幫助的。

2. API 證書

為了保證資金敏感數(shù)據(jù)的安全性，確保我們業(yè)務(wù)中的資金往來交易萬無一失。目前微信支付第三方簽發(fā)的權(quán)威的 CA 證書(API 證書)中提供的私鑰來進行簽名。通過商戶平臺你可以設(shè)置并獲取 API 證書。

API證書

切記在第一次設(shè)置的時候會提示下載，后面就不再提供下載了，具體參考說明。

API證書說明

設(shè)置后找到zip壓縮包解壓，里面有很多文件，對于 JAVA 開發(fā)來說只需要關(guān)注apiclient_cert.p12這個證書文件就行了，它包含了公私鑰，我們需要把它放在服務(wù)端并利用 Java 解析.p12文件獲取公鑰私鑰。

務(wù)必保證證書在服務(wù)器端的安全，它涉及到資金安全。

解析 API 證書

接下來就是證書的解析了，證書的解析有網(wǎng)上很多方法，這里我使用比較“正規(guī)”的方法來解析，利用 JDK 安全包的java.security.KeyStore來解析。

微信支付 API 證書使用了PKCS12算法，我們通過KeyStore來獲取公私鑰對的載體KeyPair以及證書序列號serialNumber，我封裝了工具類(序列號你自己處理)：

import org.springframework.core.io.ClassPathResource; 
 
import java.security.KeyPair; 
import java.security.KeyStore; 
import java.security.PrivateKey; 
import java.security.PublicKey; 
import java.security.cert.X509Certificate; 
 
/** 
 * KeyPairFactory 
 * 
 * @author dax 
 * @since 13:41 
 **/ 
public class KeyPairFactory { 
 
    private KeyStore store; 
 
    private final Object lock = new Object(); 
 
    /** 
     * 獲取公私鑰. 
     * 
     * @param keyPath  the key path 
     * @param keyAlias the key alias 
     * @param keyPass  password 
     * @return the key pair 
     */ 
    public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) { 
        ClassPathResource resource = new ClassPathResource(keyPath); 
        char[] pem = keyPass.toCharArray(); 
        try { 
            synchronized (lock) { 
                if (store == null) { 
                    synchronized (lock) { 
                        store = KeyStore.getInstance("PKCS12"); 
                        store.load(resource.getInputStream(), pem); 
                    } 
                } 
            } 
            X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias); 
            certificate.checkValidity(); 
            // 證書的序列號 也有用 
            String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase(); 
            // 證書的 公鑰 
            PublicKey publicKey = certificate.getPublicKey(); 
            // 證書的私鑰 
            PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem); 
 
            return new KeyPair(publicKey, storeKey); 
 
        } catch (Exception e) { 
            throw new IllegalStateException("Cannot load keys from store: " + resource, e); 
        } 
    } 
} 

眼熟的可以看出是胖哥 Spring Security 教程中 JWT 用的公私鑰提取方法的修改版本，你可以對比下不同之處。

這個方法中有三個參數(shù)，這里必須要說明一下：

• keyPath API 證書apiclient_cert.p12的classpath路徑,一般我們會放在resources路徑下，當(dāng)然你可以修改獲取證書輸入流的方式。
• keyAlias 證書的別名，這個微信的文檔是沒有的，胖哥通過加載證書時進行 DEBUG 獲取到該值固定為Tenpay Certificate 。
• keyPass 證書密碼，這個默認就是商戶號，在其它配置中也需要使用就是mchid，就是你用超級管理員登錄微信商戶平臺在個人資料中的一串?dāng)?shù)字。

3. V3 簽名

微信支付 V3 版本的簽名是我們在調(diào)用具體的微信支付的 API 時在 HTTP 請求頭中攜帶特定的編碼串供微信支付服務(wù)器進行驗證請求來源，確保請求是真實可信的。

簽名格式

簽名串的具體格式，一共五行一行也不能少，每一行以換行符\n結(jié)束。

HTTP請求方法\n 
URL\n 
請求時間戳\n 
請求隨機串\n 
請求報文主體\n 

• HTTP 請求方法 你調(diào)用的微信支付 API 所要求的請求方法，比如 APP 支付為POST。
• URL 比如 APP 支付文檔中為https://api.mch.weixin.qq.com/v3/pay/transactions/app，除去域名部分得到參與簽名的 URL。如果請求中有查詢參數(shù)，URL 末尾應(yīng)附加有'?'和對應(yīng)的查詢字符串。這里為/v3/pay/transactions/app。
• 請求時間戳 服務(wù)器系統(tǒng)時間戳，保證服務(wù)器時間正確并利用System.currentTimeMillis() / 1000獲取即可。
• 請求隨機串 找個工具類生成類似593BEC0C930BF1AFEB40B4A08C8FB242的字符串就行了。
• 請求報文主體 如果是GET請求直接為空字符"" ;當(dāng)請求方法為POST或PUT時，請使用真實發(fā)送的JSON報文。圖片上傳 API，請使用meta對應(yīng)的JSON報文。

生成簽名

然后我們使用商戶私鑰對按照上面格式的待簽名串進行 SHA256 with RSA 簽名，并對簽名結(jié)果進行Base64 編碼得到簽名值。對應(yīng)的核心 Java 代碼為：

/** 
 * V3  SHA256withRSA 簽名. 
 * 
 * @param method       請求方法  GET  POST PUT DELETE 等 
 * @param canonicalUrl 例如  https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1 
 * @param timestamp    當(dāng)前時間戳   因為要配置到TOKEN 中所以 簽名中的要跟TOKEN 保持一致 
 * @param nonceStr     隨機字符串  要和TOKEN中的保持一致 
 * @param body         請求體 GET 為 "" POST 為JSON 
 * @param keyPair      商戶API 證書解析的密鑰對  實際使用的是其中的私鑰 
 * @return the string 
 */ 
@SneakyThrows 
String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair)  { 
    String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body) 
            .collect(Collectors.joining("\n", "", "\n")); 
    Signature sign = Signature.getInstance("SHA256withRSA"); 
    sign.initSign(keyPair.getPrivate()); 
    sign.update(signatureStr.getBytes(StandardCharsets.UTF_8)); 
    return Base64Utils.encodeToString(sign.sign()); 
} 

4. 使用簽名

簽名生成后會同一些參數(shù)組成一個Token放置到對應(yīng) HTTP 請求的Authorization請求頭中，格式為：

Authorization: WECHATPAY2-SHA256-RSA2048 {Token} 

Token由以下五部分組成：

• 發(fā)起請求的商戶(包括直連商戶、服務(wù)商或渠道商)的商戶號mchid
• 商戶 API 證書序列號serial_no，用于聲明所使用的證書
• 請求隨機串nonce_str
• 時間戳timestamp
• 簽名值signature

Token生成的核心代碼：

/** 
 * 生成Token. 
 * 
 * @param mchId 商戶號 
 * @param nonceStr   隨機字符串 
 * @param timestamp  時間戳 
 * @param serialNo   證書序列號 
 * @param signature  簽名 
 * @return the string 
 */ 
String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) { 
    final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\""; 
    // 生成token 
    return String.format(TOKEN_PATTERN, 
            wechatPayProperties.getMchId(), 
            nonceStr, timestamp, serialNo, signature); 
} 

將生成的Token按照上述格式放入請求頭中即可完成簽名的使用。

5. 總結(jié)

本文我們對微信支付 V3 版本的難點簽名以及簽名的使用進行了完整的分析，同時對 API 證書的解析也進行了講解，相信能夠幫助你在支付開發(fā)中解決一些具體的問題。

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」，可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。