上次給大家介紹了 支付寶 v3 自簽名如何實現 ,這次順便再把驗籤也寫一下。
為什麼要驗籤
說起為什麼要驗籤,如果要詳細一點解釋的話,可以寫很多很多......
我們就簡單一點來解釋:驗籤可以證明接收到的資訊是支付寶給我的,不是被人中途攔截篡改資料之後再發給我的。
支付寶的通知分為 「同步通知 」和 「非同步通知 」:
- 「同步通知 」就是我們請求支付寶之後,支付寶返回的資料。
- 「非同步通知 」是到達某些條件之後,支付寶主動發的;更詳細內容可以參考之前我寫的 [手把手|支付寶非同步通知如何使用]。
對於這兩種通知我們都需要進行驗籤處理,才能保證資料的準確性!(⚠️ 很重要!!)
其實支付寶給的 SDK 裡面也封裝了驗籤的方法,並且對同步通知都經過了驗籤的處理,同步驗籤不過的話,介面會直接丟擲異常 [sign check fail: check Sign and Data Fail]。
另外 v3 SDK 裡面提供的驗籤方法名跟 v2 版本是一樣的,大家不想麻煩的話可以直接檢視 [SDK如何實現驗籤]。
(大家湊合看,v3 版本好像還沒有完整的驗籤示例程式碼,也可能是我沒找到 😢)
雖然給了這麼多簡單的方法,但是我就是要自!己!寫!一!遍!╭(╯^╰)╮
如何驗籤
驗籤的流程比加簽要簡單一點,下面用支付寶同步通知的資料做驗籤例子
步驟一、接收支付寶返回的資訊
首先就是要接收到支付寶返回的資訊,因為是同步驗籤的資料,直接拿之前自簽名的程式碼改一下
驗籤我們所需要的資料有:
- aliapy-signature:支付寶生成的簽名內容。
- alipay-timestamp:支付寶應答時間戳。
- alipay-nonce:支付寶應答隨機串。
- httpResponseBody:響應報文內容,自簽名的 resData 資料。
接收程式碼
//獲取響應的請求頭head Header[] responseHeader = response.getAllHeaders(); //待驗籤資料head:aliapy-signature、alipay-timestamp、alipay-nonce String alipaysignature = response.getFirstHeader("alipay-signature").getValue(); String alipaytimestamp = response.getFirstHeader("alipay-timestamp").getValue(); String alipaynonce = response.getFirstHeader("alipay-nonce").getValue();
獲取到的響應值
httpResponseBody:{"out_trade_no":"20181128763521373251698","qr_code":"https://qr.alipay.com/bax04870evi3w2dlaeai2502"}
aliapy-signature:M/6yx2OajiQD0mM9Tk9ShsduFERtmj+xI0BN8QiZk8BMUCvMQCne1n/VIbMZ738k4No8nsE1DC0saPe2NqtmgxC3B+TmWgrhJ+4JOVEc7K4/LcIDWN2PaPCw5g5+oUQRIGCbo0+f9yqSew4NwETV2RiVIw91q+kJ4OeIpauSnGQAuwOxqciDM52k7gUhij8G+evhK7xn6TNhiQgRk0RjkyhEEp/00lYb5xI2d9Oj5KgsDC9KTRo9SO0SJaH0SbfNHU40XUkkomuj6jiOEeccfB6Fofzq5jfL3u24Ev9SxTDf2kYZzffShLrYhlrI8947VqC3h8/F6O8y4K/PQl3LCw==
alipay-timestamp:1703576825544
alipay-nonce:73b3422127c9996ad405e77091eef6f4
包含之前自簽名的完整程式碼(僅供參考)
public class V3HttpPostTest { public static void main(String args[]) throws Exception { // 傳送請求的url String url = "https://openapi.alipay.com/v3/alipay/trade/precreate"; // 傳送請求的內容 String content = "{\"out_trade_no\":\"20181128763521373251698\",\"total_amount\":\"1\",\"subject\":\"123\",\"body\":\"body\"}"; String chearset = "utf-8"; // 建立請求物件:post或者get HttpPost httpPost = new HttpPost(url); // httpClient例項化 CloseableHttpClient httpClient = HttpClients.createDefault(); // 設定型別 // "application/x-www-form-urlencoded","application/json"、multipart/form-data、text/xml httpPost.setHeader("Content-Type", "application/json"); // 呼叫方的requestId,用於定位一次請求,需要每次請求保持唯一。 httpPost.setHeader("alipay-request-id", "32432432432423421"); httpPost.setHeader("authorization", "ALIPAY-SHA256withRSA app_id=2021111111111122,timestamp=1702452177941,nonce=3246658768654544,sign=WDF6pS2qK/kEZnsJDMrhNmd/z82ClZ+VMohYxIUs3MZ2j0m+4reQtSBGa6mZyA5ffbIPPvZTRO+1DLEuuCvZRMQGK3okYSA/ASP7GEqfCDeKmkqzKV2kWrmftNfO+EiIiCnsiyJG4SQ9G7s0OtmCT6wVkphW9wgk7mfUoF5a+Wo3kzvEur3U+7ZfSgLa4HXQG2xE+z7BjmHG8j1qVoVa/3TR1lVBAqOwkodZ9cSPKceK2RxaPkk8gsFbofbuARl5xBqDwkS2caTQu27+DLXT/QJOHRHRw5VtH9v8B7nT+nrijFjktm6hD7aIHuPon6TtEgnbtWltRizEZldh+Fo1Eg=="); // 支付寶根證照序列號,使用證照模式時,需要傳遞該值 // httpPost.setHeader("alipay-root-cert-sn", ""); // 組織資料 StringEntity se = null; try { se = new StringEntity(content); // 設定編碼格式 se.setContentEncoding(chearset); // 設定資料型別 se.setContentType("application/json"); // post請求,將請求體填充進httpPost httpPost.setEntity(se); // 透過執行httpPost獲取例項 HttpResponse response = httpClient.execute(httpPost); HttpEntity entity = response.getEntity(); String resData = EntityUtils.toString(entity); System.out.println("httpResponseBody:" + resData); //獲取響應的請求頭head Header[] responseHeader = response.getAllHeaders(); //待驗籤資料head:aliapy-signature、alipay-timestamp、alipay-nonce String alipaysignature = response.getFirstHeader("alipay-signature").getValue(); String alipaytimestamp = response.getFirstHeader("alipay-timestamp").getValue(); String alipaynonce = response.getFirstHeader("alipay-nonce").getValue(); System.out.println("aliapy-signature:" + alipaysignature); System.out.println("alipay-timestamp:" + alipaytimestamp); System.out.println("alipay-nonce:" + alipaynonce); // 關閉httpClient資源 httpClient.close(); } catch (Exception e) { e.printStackTrace(); } } }
步驟二、拼接待驗籤內容
接收到響應資料之後,我們需要按照
${alipay-timestamp}\n
${alipay-nonce}\n
${httpResponseBody}\n
規則,將資料組裝起來。
content 組裝示例
【注意:\n 不要丟!】
String content = alipaytimestamp + "\n" + alipaynonce + "\n" + httpResponseBody + "\n";
返回值
1703576825544
73b3422127c9996ad405e77091eef6f4
{"out_trade_no":"20181128763521373251698","qr_code":"https://qr.alipay.com/bax08770vkyzjc0is6ep25ed"}
步驟三、進行簽名比對
組裝完待驗籤內容之後,我們就可以將資料進行驗簽了,其中用到的引數有:
- content:上一步獲取到的內容。
- alipaysignature:第一步獲取到的 alipaysignature。
- publicKey:為支付寶公鑰,在支付寶平臺上傳應用公鑰後獲取,參考 [如何獲取支付寶公鑰]。
- charset:編碼格式,程式碼中用的是 UTF-8。
驗籤程式碼
private static boolean doVerify(String content, String alipaysignature, String publicKey, String charset) throws Exception { try { byte[] encodedKey = publicKey.getBytes(); encodedKey = Base64.getDecoder().decode(encodedKey); PublicKey pubKey = KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(encodedKey)); java.security.Signature signature = java.security.Signature.getInstance("SHA256withRSA"); signature.initVerify(pubKey); signature.update(content.getBytes(charset)); boolean signVerified = signature.verify(Base64.getDecoder().decode(alipaysignature.getBytes())) System.out.println("signVerified:" + signVerified); return falg; } catch (Exception e) { String errorMessage = "驗籤失敗,請檢查公鑰格式是否正確。content=" + content + " publicKey=" + publicKey + " reason=" + e.getMessage(); throw new Exception(errorMessage); } }
返回值
signVerified:true
只有返回 true 才能說明驗籤是透過的。
寫在最後
v3 驗簽寫完之後,可以看到其實跟 v2 的驗籤方法沒有什麼區別,最大的不同點在於待驗籤內容,大家都可以試試看,還是挺簡單的。