1(1)，1-3年网络安全开发工程师面试经验分享

微信支付接入指引与支付安全

文章目录

• 微信支付接入指引与支付安全
• 一、微信产品介绍
• • 1.1 付款码支付

• 1.2 JSAPI支付
• 1.3 小程序支付
• 1.4 Native支付
• 1.5 APP支付
• 1.6 刷脸支付

• 二、接入指引
• • 2.1 获取商户号

• 2.2 获取AppID
• 2.3 绑定商户号与AppId
• 2.4 获取秘钥和证书
• • 2.4.1 申请API秘钥

• 2.4.2 申请API证书

• 三、支付安全
• • 3.1 对称加密与非对称加密

• • 3.1.1 优缺点
• 3.2 身份认证
• 3.3 数字签名
• • 3.3.1 摘要算法介绍
• 3.4 数字证书
• • 3.4.1 Https中的数字证书

一、微信产品介绍

官方网站：微信支付 - 中国领先的第三方支付平台 ｜ 微信支付提供安全快捷的支付方式 (qq.com)

我们可以看一下“产品中心”中的”支付产品“

1.1 付款码支付

产品中心 - 微信支付商户平台 (qq.com)

1.2 JSAPI支付

产品中心 - 微信支付商户平台 (qq.com)

”线下场所“是商户展示自己的商户二维码，用户进行扫描并输入金额

“公众号场景”是指用户在微信内进入商家的公众号内进行支付

“PC网站场景”是用户在网站中展示一个二维码，用户进行扫描

1.3 小程序支付

产品中心 - 微信支付商户平台 (qq.com)

在小程序中下单并且进行支付

1.4 Native支付

商户展示支付二维码，用户扫一扫完成支付的模式，这种方式适用于pc网站

之前提到的JSAPI支付也适用于pc网站的情景

Native支付是用户扫描二维码后直接展示由商家指定的的支付金额

JSAPI支付是用户扫描二维码后需要由用户自己去输入一个支付金额

1.5 APP支付

是指商户通过在移动端独立的APP应用程序中集成微信支付模块从而完成支付流程的一种方式。

这种支付方式我们需要有一个APP，例如向美团

1.6 刷脸支付

用户在刷脸设备前通过摄像头刷脸，然后识别身份后进行的一种支付方式，适用于线下实体场所的一个收银场景

二、接入指引

2.1 获取商户号

我们接下来都用PC端进行练习

下面是接入流程，在上面的页面往下翻

之后根据步骤填写信息即可

完成后进行登录，就可以看到后台页面了

后台中会有一个登录账号，这个账号就是我们的商户id

2.2 获取AppID

我们下面进行第三步“绑定场景”，在这个步骤中我们需要一个AppId

将AppId和刚刚申请到的商户号进行关联

怎么申请AppID？我们需要申请一个微信公众号

地址：微信公众平台 (qq.com)

在此处进行注册

账号的类型选择服务号

按照下面的步骤进行填写

等待一到两个工作日后，我们就可以将此步骤获取到AppId与上一个步骤获取到的商户号进行绑定

在页面的首页，找到菜单栏当中的设置与开发

2.3 绑定商户号与AppId

进入到网址：https://pay.weixin.qq.com/

下面的截图是视频中的截图

此步骤完成后，在公众号这边会收到一个申请绑定的消息，点击同意即可

2.4 获取秘钥和证书

重新回到商户平台微信支付 - 中国领先的第三方支付平台 ｜ 微信支付提供安全快捷的支付方式 (qq.com)

选择“账户中心”

之后选择左侧菜单栏中“安全中心”下的“API安全”

之后我们会看到三个参数

API秘钥对应V2版本的API

API v3秘钥对应V3版本的API

2.4.1 申请API秘钥

API秘钥对应V2版本的API

API v3秘钥对应V3版本的API

API秘钥：专门针对V2版本的API设置的秘钥。

如果是第一次设置，后面就是一个设置按钮，如果不是第一次，后面就是一个修改按钮

APIV3秘钥：如果我们想接入的版本是APIv3版本，就需要设置APIv3秘钥（与设置API秘钥一个样）

如果是一次的话，后面的按钮时设置，不是第一次的话，后面的按钮是修改

我们可以借助一个随机密码生成器生成随机密码 - 密码生成器 - 密码批量生成器 (bmcx.com)

2.4.2 申请API证书

如果我们接入的是APIv3这个版本，在所有的API接口当中，我们都需要去使用这个API证书

如果我们接入的是APIv2版本的话，只需要在一些高级接口，比如说退款、企业红包、企业退款等等接口当中使用我们的API证书，在基本的支付流程中是不需要使用API证书的

如何申请证书？

之后按照要求填写即可

下载一个证书工具，下载完后进行解压，安装

填写信息的时候注意，商户名称要和营业执照的名称保持一致

将下面的请求串复制到我们的商户平台中

也就是粘贴到下面的框框中

之后会生成一个证书串，进行复制

然后再打开证书工具，粘贴找下面的位置，点击下一步

现在我们就可以查看证书文件

也就是下面的这种压缩包，一定要妥善的保管起来

三、支付安全

3.1 对称加密与非对称加密

实现机密性最常用的手段就是加密，只有有特殊钥匙（密钥）的人才能对加密的文本进行解密

明文：加密前的消息

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-868VEidL-1712746720241)]