第五节、项目支付功能实战-证书获取、微信支付集成初始化配置、sdk统一下单、api安全源码解读_微信支付获取平台证书

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

/\*\*

* 定义商户的全局配置信息,要求一个商户号对应一个配置
* 不能重复生成配置
* RSAAutoCertificateConfig 会利用 AutoCertificateService 自动下载微信支付平台证书。
* AutoCertificateService 将启动一个后台线程,定期(目前为每60分钟)更新证书,
* 以实现证书过期时的平滑切换。
* 在每次构建 RSAAutoCertificateConfig 时,
* SDK 首先会使用传入的商户参数下载一次微信支付平台证书。 如果下载成功,SDK 会将商户参数注册或更
* 新至 AutoCertificateService。若下载失败,将会抛出异常。
* 为了提高性能,建议将配置类作为全局变量。 复用 RSAAutoCertificateConfig
* 可以减少不必要的证书下载,避免资源浪费。 只有在配置发生变更时,
* 才需要重新构造 RSAAutoCertificateConfig。
*/
public static Config getInstance(WxPayConfig wxPayConfig){
if (instance == null){
//如果实例不存在,创建一个新的实例
synchronized (WxPayConfig.class){
//双重检查锁定,防止多线程竞争时创建多个实例
if (instance == null){
try{
if(wxPayConfig == null){
log.info(“配置信息加载出错===”);
return null;
}
log.info(“商户号为===”+ wxPayConfig.getMchId());
log.info(“商户私钥串为===”+ wxPayConfig.getPrivateKey());
log.info(“序列号为===”+ wxPayConfig.getMchSerialNo());
log.info(“密钥为===”+ wxPayConfig.getApiV3Key());
instance = new RSAAutoCertificateConfig.Builder()
.merchantId(wxPayConfig.getMchId())
.privateKey(wxPayConfig.getPrivateKey())
// .privateKeyFromPath(wxPayConfig.getPrivateKeyPath())
.merchantSerialNumber(wxPayConfig.getMchSerialNo())
.apiV3Key(wxPayConfig.getApiV3Key())
.build();
}catch (Exception e){
e.printStackTrace();
log.error(“构建商户配置信息出错,错误信息为”+e.getMessage());
return null;
}
}
}
}
return instance;
}


上述代码instance实例只会初始化一次。调用getInstance方法并传入我们申请证书信息即可完成证书的自动更新和下载。


接下来我们从源码分析的角度上来分析一下证书的下载过程,分析下载过程主要目的是看看上一节的密钥证书是如何应用的。我们重点来分析这段代码块:



instance = new RSAAutoCertificateConfig.Builder()
.merchantId(wxPayConfig.getMchId())
.privateKey(wxPayConfig.getPrivateKey())
.merchantSerialNumber(wxPayConfig.getMchSerialNo())
.apiV3Key(wxPayConfig.getApiV3Key())
.build();


使用 new RSAAutoCertificateConfig.Builder() 拿到其内部静态类Builder,Builder类继承了抽象类 AbstractRSAConfigBuilder,并调用父类的方法来初始化商户信息放到AbstractRSAConfigBuilder配置类中。调用其内部的build方法构造RSAAutoCertificateProvider.Builder类,同时将商户信息存储到RSAAutoCertificateProvider中,并调用build()方法来下载证书,下载证书的具体步骤:  
 1、首先租组装商户的签名信息(包括商户证书的序列号、商户私钥、商户号)如下代码段:



   credential =
          new WechatPay2Credential(
              requireNonNull(merchantId),
              new RSASigner(requireNonNull(merchantSerialNumber), privateKey));
    }

2、构造httpClient,并将商户证书、签名签证器设置到httpclient中。  
 3、请求微信平台的证书下载地址,进行证书下载,构造证书下载器:



CertificateDownloader downloader =
new CertificateDownloader.Builder()
.certificateHandler(rsaCertificateHandler)
.downloadUrl(REQUEST_URL)
.aeadCipher(aeadCipher)
.httpClient(httpClient)
.build();


其中 `REQUEST_URL = "https://api.mch.weixin.qq.com/v3/certificates?algorithm_type=RSA"` , `aeadCipher` 为APIv3密钥。`构造的httpClient`  
 4、证书下载:



/**
* 注册证书下载任务 如果是第一次注册,会先下载证书。如果能成功下载,再保存下载器,供定时更新证书使用。如果下载失败,会抛出异常。
* 如果已经注册过,当前传入的下载器将覆盖之前的下载器。如果当前下载器不能下载证书,定时更新证书会失败。
*
* @param merchantId 商户号
* @param type 调用方自定义的证书类型,例如 RSA/ShangMi
* @param downloader 证书下载器
*/
public static void register(String merchantId, String type, CertificateDownloader downloader) {
String key = calculateDownloadWorkerMapKey(merchantId, type);
Runnable worker =
() -> {
Map<String, X509Certificate> result = downloader.download();
certificateMap.put(key, result);
};

// 下载证书,以验证配置是正确的
// 如果错误将抛出异常,fast-fail
worker.run();
// 更新配置
downloadWorkerMap.put(key, worker);

start(defaultUpdateInterval);

}


打开download方法:



/** 下载证书 */
public Map<String, X509Certificate> download() {
HttpRequest httpRequest =
new HttpRequest.Builder()
.httpMethod(HttpMethod.GET)
.url(downloadUrl)
.addHeader(Constant.ACCEPT, " */*")
.addHeader(Constant.CONTENT_TYPE, MediaType.APPLICATION_JSON.getValue())
.build();
HttpResponse httpResponse =
httpClient.execute(httpRequest, DownloadCertificateResponse.class);

Map<String, X509Certificate> downloaded = decryptCertificate(httpResponse);
validateCertificate(downloaded);
return downloaded;

}


这里大家注意,重点来了,在下载证书时,sdk将签名封装到了httpClient中,在 `HttpResponse<DownloadCertificateResponse> httpResponse = httpClient.execute(httpRequest, DownloadCertificateResponse.class);` 这段代码中的execute方法中通过构造token值,并将token放到请求的header中,重点看这个方法`getAuthorization(httpRequest)` 这个方法中,使用了商户的私钥将请求body进行签名,并将明文、商户的公钥、签名信息组成token串发送给了微信平台,具体构造token的代码块为:



String token =
“mchid=”"
+ getMerchantId()
+ “”,"
+ “nonce_str=”"
+ nonceStr
+ “”,"
+ “timestamp=”"
+ timestamp
+ “”,"
+ “serial_no=”"
+ signature.getCertificateSerialNumber()
+ “”,"
+ “signature=”"
+ signature.getSign()
+ “”";


请求完成后,微信平台侧会实时将响应数据返回。在商户侧调用`decryptCertificate(httpResponse)` 将响应的数据进行解密,解密时使用我们之前设置的APIv3密钥。紧接着会验证下载证书的有效性会调用 `validateCertificate(downloaded);`具体的验证代码段如下:



PKIXParameters params = new PKIXParameters(trustAnchor);
params.setRevocationEnabled(false);

  List<X509Certificate> certs = new ArrayList<>();
  certs.add(certificate);

  CertificateFactory cf = CertificateFactory.getInstance("X.509"); 
  CertPath certPath = cf.generateCertPath(certs);

  CertPathValidator validator = CertPathValidator.getInstance("PKIX");
  validator.validate(certPath, params);

上述代码块用于检查证书是否由可信的根证书颁发,以及证书是否有效。X509Certificate是一种常用的数字证书标准。首先创建一个 PKIXParameters 类型的对象,它是一个用于验证证书路径的参数集合,它的构造器需要一个 trustAnchor 参数,表示可信的根证书,它是一个 Set 类型的对象,它包含了一个或多个根证书的信息。 getInstance(“PKIX”) 返回一个支持 PKIX(公钥基础设施)算法的验证器实例。


证书下载完成会存放到 AutoCertificateService类certificateMap中 ,certificateMap 是一个ConcurrentHashMap ,是线程安全的,可以支持多线程的并发访问和修改,而AutoCertificateService类是一个定时更新证书的服务,它是一个由静态函数构成的工具类。



private static final ConcurrentHashMap<String, Map<String, X509Certificate>> certificateMap =
new ConcurrentHashMap<>();
Map<String, X509Certificate> result = downloader.download();
certificateMap.put(key, result);


**到此微信平台证书的自动下载过程就描述清楚了,下面我们来总结一下具体流程:**


(1)商户侧包装商户信息:商户号、商户公钥、商户私钥等信息,并将请求的数据进行签名。将签名和公钥、时间戳、随机数等信息打包成token放到请求头部发送至微信平台侧。  
 (2)微信测收到请求后获取到认证token,并解析出商户公钥和明文信息,对数据进行验签。同时使用APIv3密钥将证书进行加密同步返回给商户侧。  
 (3)商户侧收到微信侧的响应数据后,从响应数据解密出证书,应答报文解密后,生成X.509证书对象,也就是将证书从String转为X509Certificate。  
 (4)验证证书的有效性  
 (5)将证书存储到AutoCertificateService中的certificateMap 中。


### APIv3密钥设置


在商户平台中【微信支付商户平台 - 账户中心 - 账户设置 - API安全 - APIv3密钥设置】,这个可使用在线生成器生成地址:<https://www.bchrt.com/tools/suijimima/>


### 商户平台证书和私钥的获取


以下内容来自微信官网:<https://kf.qq.com/faq/161222NneAJf161222U7fARv.html>  
 1、登录【微信支付商户平台 - 账户中心 - 账户设置 - API安全 - 申请API证书】申请证书,确定后请勿关闭页面  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/cbaca4d8c8d4484f8c5b7d5c8d16efeb.png)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/6a95dfab21a74656ae97b87191350bcd.png)  
 2、点击下载证书工具;下载后,双击“WXCertUtil.exe”文件,选择安装路径后,点击申请证书


也可通过以下链接下载证书工具:


[windows版本]( )   
 [mac版本]( ) 


3、在【证书工具】,填写商户号信息(商户号、商户名称),点击下一步  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b09a7289e9e94f8d9cf0ca5f8dc4f539.png)  
 4、在【证书工具】,复制证书请求串  
 (若提示"请粘贴请求串到商户平台获取证书串",请在第5点步骤检查是否已粘贴。可同时尝试手动鼠标复制粘贴的方法)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b409a322a77c4a82aa43ff5ee92b8778.png)  
 5、在【商户平台】,粘贴证书请求串  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/5de170cb9112467f902a62a73db1bed6.png)  
 6、在【商户平台】,输入操作密码,安全验证后生成证书串  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/fee6d72cd64d4db98605725c84fac0f4.png)  
 7、在【商户平台】,复制证书串  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/cf5fdb9f8925455ba8dab48ac2239327.png)  
 8、在【证书工具】,粘贴证书串,点击下一步,申请证书成功  
 (若提示"证书与本地公私钥不匹配",可能是浏览器禁用了剪切板复制功能。请在操作步骤第7点,操作时使用鼠标选中全部证书串内容(注意右边有下拉框),单击鼠标右键选择复制)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/0d59a1586680427e8517d9471164ba4c.png)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ca2c1ee7c0284b339f1dfe959b70aa69.png)  
 提醒:请将生成的证书文件转交给技术人员,由技术人员将证书部署到服务器上(请务必妥善保管证书及私钥,因为私钥文件只能通过证书工具导出,若私钥丢失,则无法找回,只能作废后重新申请。)


9、证书申请成功后,在证书文件夹中解压文件会发现有3个文件:.p12 这个不用管,其中两个文件apiclient\_cert.pem(商户公钥文件)、apiclient\_key(商户私钥文件)。


到此,商户API证书已经获取完毕。


### 初始化微信配置


为了统一配置微信支付用到的信息,我们在项目的resource目录下创建一个配置文件`wxpay.properties`



商户号

wxpay.mch-id=xxxxxxx

微信商户证书序列号

wxpay.mch-serial-no=xxxxxxxxxxxxxxxxxxx

商户私钥(路径加载方式使用)

wxpay.private-key-path=apiclient_key.pem

APIv3密钥

wxpay.api-v3-key=xxxxxxxxxxxxxx

小程序APPID

wxpay.appid=xxxxxxxxxxx

微信小程序密钥

wxpay.appSecret=xxxxxxxxxxxxxxxxxxxxxxxxx

微信商户平台域名(调用接口时的通用域名)

wxpay.domain=https://api.mch.weixin.qq.com
#微信支付回调地址域名(需要https 并且为备案的域名)
wxpay.notify-domain=https://test.notify.com
#商户私钥
wxpay.private-key=-----BEGIN PRIVATE KEY-----xxxx-----END PRIVATE KEY-----


其对应的配置类如下:



@Configuration
@PropertySource(“classpath:wxpay.properties”) //读取配置文件
@ConfigurationProperties(prefix=“wxpay”) //读取wxpay节点
@Data //使用set方法将wxpay节点中的值填充到当前类的属性中
public class WxPayConfig {

// 商户号
private  String mchId;

// 商户API证书序列号
private  String mchSerialNo;  

// 商户私钥文件
private  String privateKeyPath;

// APIv3密钥
private  String apiV3Key;

// APPID
private String appid;
//小程序密钥
private String appSecret;
// 微信服务器地址
private String domain;

// 接收结果通知地址
private String notifyDomain;

// APIv2密钥
private String partnerKey;

//商户私钥字符串
private String privateKey;

}


### 小程序统一下单





还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!


王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。


对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!


【完整版领取方式在文末!!】


***93道网络安全面试题***


![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)








![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)





![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)





内容实在太多,不一一截图了


### 黑客学习资源推荐


最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!


对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

#### 1️⃣零基础入门


##### ① 学习路线


对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。


![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供:


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值