1. 前言
在Java中的微信支付(1):API V3版本簽名詳解一文中胖哥講解了微信支付V3版本API的簽名,當我方(你自己的伺服器)請求微信支付伺服器時需要根據我方的API證照對引數進行加簽,微信伺服器會根據我方簽名驗籤以確定請求來自我方伺服器。那麼同樣的道理我方的伺服器也要對微信支付伺服器的響應進行鑑別來確定響應真的來自微信支付伺服器,這就是驗籤。驗籤使用的是【微信支付平臺證照公鑰】,不是商戶API證照。使用商戶API證照是驗證不過的。今天就來分享一下如何獲得微信平臺公鑰和動態重新整理微信平臺公鑰。
2. 獲取微信平臺證照公鑰
微信平臺證照是微信支付平臺自己的證照,我們是管不了的,而且是有效期的。
微信伺服器會定期更換,所以也要求我方定期獲取公鑰。而且我們只能通過呼叫介面/v3/certificates來獲得,此介面也需要進行簽名(可參考上一篇文章)。你可以獲取證照後靜態放到伺服器上,手動更新靜態證照;也可以動態獲取一勞永逸。本文采取一勞永逸的辦法。
平臺證照介面文件:https://wechatpay-api.gitbook.io/wechatpay-api-v3/jie-kou-wen-dang/ping-tai-zheng-shu
3. 證照和回撥報文解密
為了保證安全性,微信支付在回撥通知和平臺證照下載介面中,對關鍵資訊進行了AES-256-GCM加密。也就是說我們拿到響應的資訊是被加密的,需要解密後才能獲得真正的微信平臺證照公鑰。響應體大致是這樣的,具體根據你呼叫平臺證照介面,應該大差不差是下面這個結構:
{
"data": [
{
"effective_time": "2020-10-21T14:48:49+08:00",
"encrypt_certificate": {
// 加密演算法
"algorithm": "AEAD_AES_256_GCM",
// 附加資料包(可能為空)
"associated_data": "certificate",
// Base64編碼後的密文
"ciphertext": "",
// 加密使用的隨機串初始化向量)
"nonce": "88b4e15a0db9"
},
"expire_time": "2025-10-20T14:48:49+08:00",
// 證照序列號
"serial_no": "217016F42805DD4D5442059D373F98BFC5252599"
}
]
}
你可以使用各種JSON類庫取得下面方法的引數進行解密以獲取證照,同時這裡需要用到APIv3金鑰,通用的解密方式為:
/**
* 解密響應體.
*
* @param apiV3Key API V3 KEY API v3金鑰 商戶平臺設定的32位字串
* @param associatedData response.body.data[i].encrypt_certificate.associated_data
* @param nonce response.body.data[i].encrypt_certificate.nonce
* @param ciphertext response.body.data[i].encrypt_certificate.ciphertext
* @return the string
* @throws GeneralSecurityException the general security exception
*/
public String decryptResponseBody(String apiV3Key,String associatedData, String nonce, String ciphertext) {
try {
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
SecretKeySpec key = new SecretKeySpec(apiV3Key.getBytes(StandardCharsets.UTF_8), "AES");
GCMParameterSpec spec = new GCMParameterSpec(128, nonce.getBytes(StandardCharsets.UTF_8));
cipher.init(Cipher.DECRYPT_MODE, key, spec);
cipher.updateAAD(associatedData.getBytes(StandardCharsets.UTF_8));
byte[] bytes;
try {
bytes = cipher.doFinal(Base64Utils.decodeFromString(ciphertext));
} catch (GeneralSecurityException e) {
throw new IllegalArgumentException(e);
}
return new String(bytes, StandardCharsets.UTF_8);
} catch (NoSuchAlgorithmException | NoSuchPaddingException e) {
throw new IllegalStateException(e);
} catch (InvalidKeyException | InvalidAlgorithmParameterException e) {
throw new IllegalArgumentException(e);
}
}
回撥的請求體也是此方法進行解密。
3. 動態重新整理
然後就能拿到微信平臺證照公鑰。然後你可以定義個Map,以證照的序列號為KEY,以證照為Value來動態重新整理,關鍵虛擬碼:
// 定義全域性容器 儲存微信平臺證照公鑰 注意執行緒安全
private static final Map<String, Certificate> CERTIFICATE_MAP = new ConcurrentHashMap<>();
// 下面是重新整理方法 refreshCertificate 的核心程式碼
String publicKey = decryptResponseBody(associatedData, nonce, ciphertext);
final CertificateFactory cf = CertificateFactory.getInstance("X509");
ByteArrayInputStream inputStream = new ByteArrayInputStream(publicKey.getBytes(StandardCharsets.UTF_8));
Certificate certificate = null;
try {
certificate = cf.generateCertificate(inputStream);
} catch (CertificateException e) {
e.printStackTrace();
}
String responseSerialNo = objectNode.get("serial_no").asText();
// 清理HashMap
CERTIFICATE_MAP.clear();
// 放入證照
CERTIFICATE_MAP.put(responseSerialNo, certificate);
動態重新整理的策略就很好寫了:
// 當證照容器為空 或者 響應提供的證照序列號不在容器中時 就應該重新整理了
if (CERTIFICATE_MAP.isEmpty() || !CERTIFICATE_MAP.containsKey(wechatpaySerial)) {
refreshCertificate();
}
// 然後呼叫
Certificate certificate = CERTIFICATE_MAP.get(wechatpaySerial);
4. 總結
雖然驗籤你不做可以拿到其它介面的響應結果,但是從資金安全的角度來說這是十分必要的。同時因為微信平臺證照不收我方控制,採取動態重新整理也會更加方便,不必再擔心過期的問題。本文我們通過呼叫介面拿到密文並解密獲得證照。下一篇我們將通過獲得的證照進行簽名驗證來確保我們的響應是微信伺服器發過來的,請關注:碼農小胖哥 及時獲得相關的更新。
關注公眾號:Felordcn 獲取更多資訊