Java中的微信支付API V3版本簽名的案例

這篇文章給大家分享的是有關(guān)Java中的微信支付API V3版本簽名的案例的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個參考。一起跟隨小編過來看看吧。

java基礎(chǔ)教程欄目介紹Java中的微信支付，實(shí)現(xiàn)API V3版本簽名。

1、 前言

最近在折騰微信支付，證書還是比較煩人的，所以有必要分享一些經(jīng)驗(yàn)，減少你在開發(fā)微信支付時的踩坑。目前微信支付的API已經(jīng)發(fā)展到V3版本，采用了流行的Restful風(fēng)格。

今天來分享微信支付的難點(diǎn)——簽名，雖然有很多好用的SDK但是如果你想深入了解微信支付還是需要了解一下的。

2. API證書

為了保證資金敏感數(shù)據(jù)的安全性，確保我們業(yè)務(wù)中的資金往來交易萬無一失。目前微信支付第三方簽發(fā)的權(quán)威的CA證書(API證書)中提供的私鑰來進(jìn)行簽名。通過商戶平臺你可以設(shè)置并獲取API證書。

切記在第一次設(shè)置的時候會提示下載，后面就不再提供下載了，具體參考說明。

設(shè)置后找到zip壓縮包解壓，里面有很多文件，對于JAVA開發(fā)來說只需要關(guān)注apiclient_cert.p12這個證書文件就行了，它包含了公私鑰，我們需要把它放在服務(wù)端并利用Java解析.p12文件獲取公鑰私鑰。

務(wù)必保證證書在服務(wù)器端的安全，它涉及到資金安全。

解析API證書

接下來就是證書的解析了，證書的解析有網(wǎng)上很多方法，這里我使用比較“正規(guī)”的方法來解析，利用JDK安全包的java.security.KeyStore來解析。

微信支付API證書使用了PKCS12算法，我們通過KeyStore來獲取公私鑰對的載體KeyPair以及證書序列號serialNumber，我封裝了工具類：

import org.springframework.core.io.ClassPathResource;import java.security.KeyPair;import java.security.KeyStore;import java.security.PrivateKey;import java.security.PublicKey;import java.security.cert.X509Certificate;/**
 * KeyPairFactory
 *
 * @author dax
 * @since 13:41
 **/public class KeyPairFactory {    private KeyStore store;    private final Object lock = new Object();    /**
     * 獲取公私鑰.
     *
     * @param keyPath  the key path
     * @param keyAlias the key alias
     * @param keyPass  password
     * @return the key pair
     */
    public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) {
        ClassPathResource resource = new ClassPathResource(keyPath);        char[] pem = keyPass.toCharArray();        try {            synchronized (lock) {                if (store == null) {                    synchronized (lock) {
                        store = KeyStore.getInstance("PKCS12");
                        store.load(resource.getInputStream(), pem);
                    }
                }
            }
            X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias);
            certificate.checkValidity();            // 證書的序列號 也有用
            String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase();            // 證書的 公鑰
            PublicKey publicKey = certificate.getPublicKey();            // 證書的私鑰
            PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem);    
            return new KeyPair(publicKey, storeKey);

        } catch (Exception e) {            throw new IllegalStateException("Cannot load keys from store: " + resource, e);
        }
    }
}復(fù)制代碼

眼熟的可以看出是胖哥Spring Security教程中JWT用的公私鑰提取方法的修改版本，你可以對比下不同之處。

這個方法中有三個參數(shù)，這里必須要說明一下：

• keyPath  API證書apiclient_cert.p12的classpath路徑,一般我們會放在resources路徑下，當(dāng)然你可以修改獲取證書輸入流的方式。
• keyAlias 證書的別名，這個微信的文檔是沒有的，胖哥通過加載證書時進(jìn)行DEBUG獲取到該值固定為Tenpay Certificate 。
• keyPass  證書密碼，這個默認(rèn)就是商戶號，在其它配置中也需要使用就是mchid，就是你用超級管理員登錄微信商戶平臺在個人資料中的一串?dāng)?shù)字。

3. V3簽名

微信支付V3版本的簽名是我們在調(diào)用具體的微信支付的API時在HTTP請求頭中攜帶特定的編碼串供微信支付服務(wù)器進(jìn)行驗(yàn)證請求來源，確保請求是真實(shí)可信的。

簽名格式

簽名串的具體格式，一共五行一行也不能少，每一行以換行符\n結(jié)束。

HTTP請求方法\n
URL\n
請求時間戳\n
請求隨機(jī)串\n
請求報(bào)文主體\n復(fù)制代碼

• HTTP請求方法  你調(diào)用的微信支付API所要求的請求方法，比如APP支付為POST。
• URL  比如APP支付文檔中為https://api.mch.weixin.qq.com/v3/pay/transactions/app，除去域名部分得到參與簽名的URL。如果請求中有查詢參數(shù)，URL末尾應(yīng)附加有'?'和對應(yīng)的查詢字符串。這里為/v3/pay/transactions/app。
• 請求時間戳 服務(wù)器系統(tǒng)時間戳，保證服務(wù)器時間正確并利用System.currentTimeMillis() / 1000獲取即可。
• 請求隨機(jī)串  找個工具類生成類似593BEC0C930BF1AFEB40B4A08C8FB242的字符串就行了。
• 請求報(bào)文主體  如果是GET請求直接為空字符"" ；當(dāng)請求方法為POST或PUT時，請使用真實(shí)發(fā)送的JSON報(bào)文。圖片上傳API，請使用meta對應(yīng)的JSON報(bào)文。

生成簽名

然后我們使用商戶私鑰對按照上面格式的待簽名串進(jìn)行SHA256 with RSA簽名，并對簽名結(jié)果進(jìn)行Base64編碼得到簽名值。對應(yīng)的核心Java代碼為：

/**
 * V3  SHA256withRSA 簽名.
 *
 * @param method       請求方法  GET  POST PUT DELETE 等
 * @param canonicalUrl 例如  https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1
 * @param timestamp    當(dāng)前時間戳   因?yàn)橐渲玫絋OKEN 中所以 簽名中的要跟TOKEN 保持一致
 * @param nonceStr     隨機(jī)字符串  要和TOKEN中的保持一致
 * @param body         請求體 GET 為 "" POST 為JSON
 * @param keyPair      商戶API 證書解析的密鑰對  實(shí)際使用的是其中的私鑰
 * @return the string
 */@SneakyThrowsString sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair)  {
    String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body)
            .collect(Collectors.joining("\n", "", "\n"));
    Signature sign = Signature.getInstance("SHA256withRSA");
    sign.initSign(keyPair.getPrivate());
    sign.update(signatureStr.getBytes(StandardCharsets.UTF_8));    return Base64Utils.encodeToString(sign.sign());
}復(fù)制代碼

4. 使用簽名

簽名生成后會同一些參數(shù)組成一個Token放置到對應(yīng)HTTP請求的Authorization請求頭中，格式為：

Authorization: WECHATPAY2-SHA256-RSA2048 {Token}復(fù)制代碼

Token由以下五部分組成：

• 發(fā)起請求的商戶（包括直連商戶、服務(wù)商或渠道商）的商戶號mchid

• 商戶API證書序列號serial_no，用于聲明所使用的證書

• 請求隨機(jī)串nonce_str

• 時間戳timestamp

• 簽名值signature

Token生成的核心代碼：

/**
 * 生成Token.
 *
 * @param mchId 商戶號
 * @param nonceStr   隨機(jī)字符串 
 * @param timestamp  時間戳
 * @param serialNo   證書序列號
 * @param signature  簽名
 * @return the string
 */String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) {    final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\"";    // 生成token
    return String.format(TOKEN_PATTERN,
            wechatPayProperties.getMchId(),
            nonceStr, timestamp, serialNo, signature);
}復(fù)制代碼

將生成的Token按照上述格式放入請求頭中即可完成簽名的使用。

感謝各位的閱讀！關(guān)于Java中的微信支付API V3版本簽名的案例就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！