支付宝签名验证

于 2023-02-01 09:10:50 发布
阅读量1.9k 收藏
点赞数
分类专栏: Golang 文章标签: go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ekcchina/article/details/128826476
版权

支付宝签名验证

支付宝服务器向商家服务器发送消息签名验证

官方文档

  • 在对接支付宝支付时无论何种支付,支付完成后支付宝都会有一个异步的回调通知,此时我们就需要处理其中的消息来更新订单状态。
  • 因为接口是对外开放的谁都能请求,所以需要注意接口安全,支付宝给我们发送的消息会带有签名,防止消息被篡改

1. 当我们收到消息是首先就需要对内容进行签名验证

支付宝官方并没有提供Go的sdk

// CheckSign 校验签名
//  @Description: 校验异步通知签名
//  @param req_body 请求body a=1&b=2
//  @param public_key 支付宝公钥
//  @return bool 结果
//  @return error
func CheckSign(req_body string, public_key string) (bool, error) {
    var sign string
    input := map[string]string{}
    //解析查询字符串
    val, _ := url.ParseQuery(req_body)
    for k, v := range val {
        if k == "sign" || k == "sign_type" {
            if k == "sign" {
                sign = v[0]
            }
            continue
        }
        //URL解码
        value, _ := url.QueryUnescape(v[0])
        input[k] = value
    }
    return checkSign(input, sign, utils.GetPublicKey(public_key))
}
// 自定义排序
type kv struct {
    Key   string
    Value string
}
type SortKv []kv

func (s SortKv) Len() int {
    return len(s)
}

func (s SortKv) Less(i, j int) bool {
    return s[i].Key < s[j].Key
}
func (s SortKv) Swap(i, j int) {
    s[i], s[j] = s[j], s[i]
}
// 处理数据验证签名
func checkSign(input map[string]string, sign string, public_key string) (bool, error) {
    var ListKv SortKv
    for key, val := range input {
        ListKv = append(ListKv, kv{
            key, val,
        })
    }
    sort.Sort(ListKv)
    var sign_str string
    for _, v := range ListKv {
        sign_str += v.Key + "=" + v.Value + "&"
    }
    sign_str = strings.TrimRight(sign_str, "&")
    fmt.Println("---------------------------------")
    fmt.Println(fmt.Sprintf("签名字符串:%s", sign_str))
    fmt.Println(fmt.Sprintf("sign:%s", sign))
    fmt.Println(fmt.Sprintf("public_key:%s", public_key))
    return utils.Rsa2PubCheckSign(sign_str, sign, public_key, crypto.SHA256)
}

// rsa2公钥签名验证
func Rsa2PubCheckSign(signContent, sign, publicKey string, hash crypto.Hash) (res bool, err error) {
    hashed := sha256.Sum256([]byte(signContent))
    pubKey, err := ParsePublicKey(publicKey)
    if err != nil {
        return false, err
    }
    sig, _ := base64.StdEncoding.DecodeString(sign)
    err = rsa.VerifyPKCS1v15(pubKey, hash, hashed[:], sig)
    if err != nil {
        return false, err
    }
    return true, nil
}
// 组装公钥
func GetPublicKey(pubkey string) string {
    PREFIX := "-----BEGIN PUBLIC KEY-----"
    SUFFIX := "-----END PUBLIC KEY-----"

    return PREFIX + "\n" + pubkey + "\n" + SUFFIX
}

// ParsePublicKey 解析公钥
func ParsePublicKey(publicKey string) (*rsa.PublicKey, error) {
    block, _ := pem.Decode([]byte(publicKey))
    if block == nil {
        return nil, errors.New("公钥信息错误!")
    }
    pubKey, err := x509.ParsePKIXPublicKey(block.Bytes)
    if err != nil {
        return nil, err
    }
    return pubKey.(*rsa.PublicKey), nil
}

2. 签名可以防止消息被篡改但是不是阻止重放攻击,所以我们还需要验证内容的合法性

以下是官方文档原文

1. 商家需要验证该通知数据中的 out_trade_no 是否为商家系统中创建的订单号。
2. 判断 total_amount 是否确实为该订单的实际金额(即商家订单创建时的金额)。
3. 校验通知中的 seller_id(或者 seller_email ) 是否为 out_trade_no 这笔单据的对应的操作方(有的时候,一个商家可能有多个seller_id/seller_email)。
4. 验证 app_id 是否为该商家本身。
中亿丰数字科技集团有限公司
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
golang支付宝支付生成签名
liyunlonghere
11-08 3万+
调用支付宝支付接口时,需要用商户自己的私钥生成sign,将数据与sign一起发送给支付宝来发起支付。 这里总结一下签名的流程,以支付宝手机网站支付为例。实现语言为golang。 请求参数网址:https://docs.open.alipay.com/203/107090/ 一. 生成biz_content业务参数信息: func GenBizContent(subject, outTra...
java 支付宝回调校验签名_支付宝异步回调验证签名
weixin_34830055的博客
02-28 1638
今天做支付宝接口回调这块,不得不说,弄的我焦头烂额,翻了很多陈年旧帖,试了无数种解决坑的方案,在我成功解决的一瞬间,觉得非常有必要记录一下这些坑。签名验证错误的检查顺序(这里是基于使用官方给的demo,自己封装的请绕道):1:检查一下你使用的验证签名的方法是否正确?bool signVerified = AlipaySignature.RSACheckV1(dic, alipay_public_k...
支付宝签名浅析
dj1540225203的博客
03-15 420
官方文档:签名验签介绍 | 开放平台 加解密工具:生成密钥 | 开放平台 基础能力:基础能力 | 小程序 商户会员卡产品:商户会员卡产品介绍 | 小程序 第三方开放平台:代调用 OpenAPI 说明 | 第三方应用 Step-1:创建第三方应用 | 小程序 第三方开放平台API预览:代开发模式 API 概览 | 小程序 资金能力:交易分账查询接口 | 小程序 运营能力:无资金商户优惠券产品介绍 | 小程序 小程序直播:小程序直播产品介绍 | 小程序 小程序前端和数据分析:开发 | ...
支付宝网页支付(签名
yt_php的博客
05-31 4854
请求流程中,签名部分是重要的一部分。 也是初学者不容易理解的部分。 最终请求支付宝的链接为: https://openapi.alipaydev.com/gateway.do?参数1=...&amp;参数2=...&amp;sign_type=RSA2&amp;sign=mZsBK....(很长) 说简单点即是:支付宝网关?必要的参数&amp;签名参数 那么,为什么加签名呢? 作用:确...
alipay秘钥、签名校验工具
08-03
支付宝开发,秘钥、签名校验工具。可生成秘钥对,可生成签名
支付宝rsa签名认证工具
08-17
支付宝rsa签名认证工具 产生商户应用公钥和私钥
支付宝RSA签名验签工具windows_V1.4
03-28
支付宝场景中,商户使用私钥对交易数据签名支付宝使用商户公开的公钥来验证签名的合法性。 2. 生成RSA密钥对: 使用此工具,开发者可以在本地生成一对RSA密钥,包括一个公钥和一个私钥。公钥将提交给支付宝,...
支付宝验证工具
12-01
支付宝验证工具是一款专为开发者设计的应用,主要用于处理与支付宝接口交互过程中的安全性问题,特别是涉及到RSA加密算法的签名验签操作。RSA是一种非对称加密算法,它在网络安全领域广泛应用,包括数字签名、数据...
支付宝_签名_SHA256WithRsa签名_SHA1WithRSA签名delphi源码.rar
02-07
此压缩包文件包含的是与支付宝签名相关的Delphi源码,主要涉及到SHA256WithRsa和SHA1WithRSA两种签名算法。 SHA(Secure Hash Algorithm)是一种哈希函数,可以将任意长度的消息转化为固定长度的摘要。SHA256是SHA...
zhifubao.rar_RSA签名_pas_rsa_支付宝_支付宝签名
09-23
如果签名验证通过,说明信息未被篡改,交易可以继续进行;反之,则会拒绝交易,以防止欺诈。 在"zhifubao.pas"这个文件中,可能包含了支付宝支付过程中的具体实现代码或配置信息,如RSA密钥对、签名算法的具体实现...
[另类方式破解]支付宝的小程序sign验签参数算法
闷骚小贱男
07-26 8643
前段时间想到支付宝的一个做任务领集分宝的小程序… 挺好的,想要做一个获取到所有任务,然后全自动做任务的工具,抓包发现有sign验签,于是有了本帖 抓完才发现,整个小程序是用https传输数据的。 另类方式破解的目的 小白就要有小白的办法,咱们要让小程序投降,让他自己乖乖的把sign用到的所有参数都告诉我。 0x0手机环境 安卓11 K40稳定版/miui12/解锁BL 已刷面具(刷了Move Certificates) LSPosed框架 0x1用到的工具 手机端 Drony 1.3.154
(支付接口)签名验签和请求参数加密方法
08-12 4607
当我们在测试支付接口的时候,发现每个接口需要将请求的敏感数据加密后才能请求接口,遇到这种问题怎么解决呢? 特别是当我们在写python接口自动化测试脚本的时候,这是必须要解决的问题。下面我来详细的写下这个过程: 首先,我们需要拿到商户的公钥和公司的公钥,商户有自己的私钥,私钥只要商户自己知道。加密的时候拿公司的公钥加密、签名时拿商户的私钥签名。 这样传送的数据会拿商户的公钥去验签才能通过。 ...
c# 支付宝小程序开发 sign check fail: check Sign and Data Fail
书写人生
05-18 1233
错误描述 接口报错:com.alipay.api.AlipayApiException: com.alipay.api.AlipayApiException: sign check fail: check Sign and Data Fail! 问题原因 支付宝返回内容信息验签失败。 支付宝公钥错误 编码格式错误 验签方法错误 解决方案 支付宝公钥错误 验签使用的支付宝公钥必须是与之匹配的应用id(app_id)中的支付宝公钥。代码中支付宝公钥参数与开放平台上 接口加签方式 位置获取的支
支付宝签名验签,return_url和通知页notify_url
cswhl的博客
04-10 8990
1 支付宝签名验签 签名验签的作用 首先了解下使用RSA签名验签的作用是什么? 对数据进行签名后,可以保证数据完整性,机密性和发送方角色的不可抵赖性,可以有效防止请求信息信息被篡改。 以商户服务端(A)、支付宝服务端(B)、发送的消息内容(C)、加密后的签名(D)举例如下: • 签名:商户A将需要发给支付宝B的消息内容C利用app私钥进行加密得到签名D。然后A将C和D一起发给B。 • 验签支付宝B接收到内容C和签名D后,使用app公钥进行验证验证签名D解密后的内容是否与内容C相同,相同返回tr
golang对接支付宝支付
跟派大星学编程
07-20 5281
本文采用沙箱环境 1. 开启沙箱 文档:https://docs.open.alipay.com/200/105311/ 沙箱地址:https://openhome.alipay.com/platform/appDaily.htm 2. 生成秘钥 本文中的签名方法默认为 RSA2,采用支付宝提供的 RSA签名&验签工具 生成秘钥时,秘钥的格式必须为 PKCS1,秘钥长度推荐 2048。所...
支付宝签名验证机制
hunter800421的专栏
01-25 2万+
支付宝app支付的流程如下(图片来自支付宝开放平台) 本文重点讨论支付宝签名验证机制,即图中的第二步。 支付宝签名采用RSA算法。RSA是一种用非对称加密算法。只有短的RSA钥匙才可能被强力方式解破。到2008年为止,世界上还没有任何可靠的攻击RSA算法的方式。只要其钥匙的长度足够长,用RSA加密的信息实际上是不能被解破的。目前被破解的最长RSA密钥是768个二进制位。也就是说,长度超过
支付宝反校验签名isSign一直返回false的解决办法之一
谢彬のCSDN专栏
08-05 2万+
气死我了!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 我又一次跪在支付宝的脚下了!! 问题的原因是:我把上传到支付宝的公钥用来反校验签名了,应该是支付宝本身的公钥来验证而不是你上传的公钥!!!!! 通用的支付宝公钥:登录b.alipay.com,查看支付宝公钥!
支付宝之私钥签名公钥验签
热门推荐
Jolie_Yang的博客
03-08 2万+
8th,March,2016 Tuesday RSA公钥加密算法简介 非对称加密算法。只有短的RSA钥匙才可能被强力方式解破。到2008年为止,世界上还没有任何可靠的攻击RSA算法的方式。只要其钥匙的长度足够长,用RSA加密的信息实际上是不能被解破的。 目前被破解的最长RSA密钥是768个二进制位。也就是说,长度超过768位的密钥,还无法破解(至少没人公开宣布)。因此可以认为
支付宝md5签名算法
最新发布
07-23
支付宝的MD5签名算法是一种安全技术,用于验证交易请求是否来自可信源并防止数据篡改。在支付宝支付流程中,MD5签名主要用于以下几个步骤: 1. **拼接字符串**:将商户提供的信息(如订单号、金额、时间戳等)按照...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

中亿丰数字科技集团有限公司

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值