微信小程序开发实战10_3 平台证书以及应答签名

已于 2022-12-29 08:14:07 修改
阅读量1k 收藏
点赞数
分类专栏: 微信小程序开发实战 文章标签: 微信小程序 go golang
于 2022-12-29 08:12:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gz_hm/article/details/128475845
版权

11.3平台证书

微信支付会在HTTP请求应答的头部中包括应答签名,商户必须 验证应答的签名,以确保应答是由微信支付平台发送的。同样也要对微信支付回调的HTTP头部的签名进行验证。
应答和回调的签名验证使用的是微信支付的平台证书,注意不是商户证书。平台证书是指由微信支付 负责申请的,包含微信支付平台标识、公钥信息的证书。商户可以使用平台证书中的公钥进行验签。微信支付的平台证书的可通过调用“获取平台证书接口”来获取。获取平台证书的接口地址为:
https://api.mch.weixin.qq.com/v3/certificates
调用微信支付平台证书获取接口的处理逻辑如下:

  • 首先获取商户证书以及商户私钥,使用商户证书以及商户私钥构造HTTP请求签名,并设置请求头规定的字段
  • 发送HTTP的GET请求
  • 解析请求返回数据,并使用AEAD_AES_256_GCM 算法解密证书数据
    以下是微信支付平台证书的接口调用的相关代码:
type WxCertRet struct {
   Data []WxCertRetItem            `json:"data"`
}
type WxCertRetItem struct {
   EffectiveTime      string          `json:"effective_time"`
   Certificate       WxCertificate   `json:"encrypt_certificate"`
   ExpireTime         string          `json:"expire_time"`
   SerialNo           string          `json:"serial_no"`
}
type WxCertificate struct {
   Algorithm      string           `json:"algorithm"`
   AssociatedData string           `json:"associated_data"`
   Ciphertext     string           `json:"ciphertext"`
   Nonce          string           `json:"nonce"`
}
//获取微信支付平台证书
func downloadPlatCertificate(ctx *MchParam) error {
   const publicKeyUrl = "https://api.mch.weixin.qq.com/v3/certificates"
   log.Println(publicKeyUrl)
   token, err := GenerateWxPayReqHeader(ctx, http.MethodGet, publicKeyUrl, "")
   if err != nil {
      log.Println(err)
      return err
   }

   request, err := http.NewRequest(http.MethodGet, publicKeyUrl, nil)
   if err != nil {
      log.Println(err)
      return err
   }

   request.Header.Add("Authorization", token)
   request.Header.Add("User-Agent", "go pay sdk")
   request.Header.Add("Content-type", "application/json;charset='utf-8'")
   request.Header.Add("Accept", "application/json")

   client := http.DefaultClient
   response, err := client.Do(request)
   if err != nil {
      log.Println(err)
      return err
   }
   defer response.Body.Close()

   bodyBytes, err := ioutil.ReadAll(response.Body)
   if err != nil {
      log.Println(err)
      return err
   }

   var tokenResponse WxCertRet
   if err = json.Unmarshal(bodyBytes, &tokenResponse); err != nil {
      log.Println(err)
      return err
   }

   //使用 AEAD_AES_256_GCM 算法进行解密
   for _, encrypt_cert := range tokenResponse.Data {
      decryptBytes, err := DecryptAES256GCM(
         ctx.MchAPIKey,
         encrypt_cert.Certificate.AssociatedData,
         encrypt_cert.Certificate.Nonce,
         encrypt_cert.Certificate.Ciphertext)
      if err != nil {
         log.Println(err)
         return err
      }

      cert_ret, _ := LoadCertificate(decryptBytes)
      if cert_ret != nil {
	serial_no := encrypt_cert.SerialNo
	map_plat_cert[serial_no] = cert_ret
      }
   }
   return nil
}

说明:

  • 平台证书设置了有效期,商户需在证书过期前调用接口, 并更新操证书。
  • 微信平台会在旧证书过期前10天生成新证书,建议商户在旧证书过期前5-10天下载并部署新证书。
  • 旧证书过期前的5天内,微信支付允许同时使用新旧证书,因此建议商户系统能够支持多平台证书。
    以下代码是多平台证书管理的示例:
var map_plat_cert = make(map[string]*x509.Certificate)
var lock_plat_cert sync.RWMutex
func GetPlatCertificate(ctx *MchParam, serial_no string) *x509.Certificate {
   lock_plat_cert.Lock()
   defer lock_plat_cert.Unlock()

   cert, ok := map_plat_cert[serial_no]
   if !ok {
      //调用证书获取接口
      downloadPlatCertificate(ctx)
      cert = map_plat_cert[serial_no]
      if cert == nil {
         log.Println("GetPlatCertificate error !!!")
      }
   }
   return cert
}

11.4应答签名

如果验证商户的请求签名正确,微信支付会在应答的HTTP头部中包括应答签名。我们建议商户验证应答签名。同样的,微信支付会在回调的HTTP头部中包括回调报文的签名。商户必须 验证回调的签名,以确保回调是由微信支付平台发送的。
微信支付平台使用平台私钥(注意不是商户私钥 )进行应答签名。微信支付的平台证书序列号位于HTTP的请求头Wechatpay-Serial中。验证签名前,请商户先检查序列号是否跟商户当前所持有的微信支付平台证书的序列号一致。如果不一致,请重新获取证书。否则签名的私钥和证书不匹配,将无法成功验证签名。
首先,商户先从应答中获取以下信息。

  • HTTP头Wechatpay-Timestamp 中的应答时间戳。
  • HTTP头Wechatpay-Nonce 中的应答随机串
  • 应答主体(response Body)
    然后,请按照以下规则构造应答的签名串。签名串共有三行,行尾以\n 结束,包括最后一行。
    应答时间戳\n应答随机串\n应答报文主体\n
    微信支付的应答签名通过HTTP头Wechatpay-Signature传递。对 Wechatpay-Signature的字段值使用Base64进行解码,得到应答签名。以下是签名验证的相关代码:
//对微信支付应答报文进行验证
//sign_param:微信支付应答报文数据
//certificate:微信支付平台证书中,使用微信支付平台证书中的公钥验签
func ResponseValidate(sign_param *WxSignParam, certificate *x509.Certificate) error {
   //构造签名串
   message := sign_param.BuildResponseMessage()
   signature, err := base64.StdEncoding.DecodeString(sign_param.Signature)
   if err != nil {
      return fmt.Errorf("base64 decode err:%s", err.Error())
   }
   hashed := sha256.Sum256([]byte(message))
   err = rsa.VerifyPKCS1v15(certificate.PublicKey.(*rsa.PublicKey), crypto.SHA256, hashed[:], []byte(signature))
   if err != nil {
      return fmt.Errorf("verifty signature err:%s", err.Error())
   }
   return nil
}

WxSignParam是应答签名的相关数据,WxSignParam的定义如下:

type WxSignParam struct {
   Timestamp   string //微信支付回包时间戳
   Nonce       string //微信支付回包随机字符串
   Signature   string //微信支付回包签名信息
   CertSerial  string //微信支付回包平台序列号
   RequestId   string //微信支付回包请求ID
   Body        string
}

WxSignParam的数据通过函数:InitFromResponse来获取,InitFromResponse从HTTP的应答头获取校验签名所需的参数,包括:答时间戳、应答随机串、应答签名以及平台证书序列号:

func (ent *WxSignParam)InitFromResponse(response *http.Response, body string) error {
   ent.RequestId = strings.TrimSpace(response.Header.Get("Request-Id"))
   ent.CertSerial = response.Header.Get("Wechatpay-Serial")
   ent.Signature = response.Header.Get("Wechatpay-Signature")
   ent.Timestamp = response.Header.Get("Wechatpay-Timestamp")
   ent.Nonce = response.Header.Get("Wechatpay-Nonce")
   ent.Body = body
   return nil
}

通过WxSignParam数据构造签名串的代码为:

unc (ent *WxSignParam)BuildResponseMessage() string {
   message := fmt.Sprintf("%s\n%s\n%s\n",
      ent.Timestamp, ent.Nonce, ent.Body)
   return message
}

有了签名验证函数,我们就可以对支付请求的应答进行签名验证了,以下代码是增加了签名验证逻辑的支付接口调用函数:

func WxPayPostV3(ctx *MchParam, url string, data []byte) (string, error) {
   token, err := GenerateWxPayReqHeader(ctx, http.MethodPost, url, string(data))
   if err != nil {
      log.Println(err)
      return "", err
   }

   request, err := http.NewRequest("POST", url, bytes.NewBuffer(data))
   if err != nil {
      return "", err
   }
   request.Header.Add("Authorization", token)
   request.Header.Add("User-Agent", "go pay sdk")
   request.Header.Add("Content-type", "application/json;charset='utf-8'")
   request.Header.Add("Accept", "application/json")

   client := &http.Client{Timeout: 5 * time.Second}
   resp, err := client.Do(request)
   if err != nil {
      log.Println(err)
      return "", err
   }
   defer resp.Body.Close()

   result, _ := ioutil.ReadAll(resp.Body)
   if resp.StatusCode != 200 && resp.StatusCode != 204 {
      err := fmt.Errorf("status:%d;msg=%s", resp.StatusCode, string(result))
      log.Println(err)
      return string(result), err
   }

   var sign_param WxSignParam
   err = sign_param.InitFromResponse(resp, string(result))
   if err != nil {
      log.Println(err)
      return string(result), err
   }

   //Validate WechatPay Signature
   plat_certificate := GetPlatCertificate(ctx, sign_param.CertSerial)
   err = ResponseValidate(&sign_param, plat_certificate);
   if err != nil {
      log.Println(err)
      return string(result), err
   }

   log.Println(string(result))
   return string(result), nil
}

11.5报文解密

为了保证安全性,微信支付在回调通知和平台证书下载接口中,对关键信息进行了AES-256-GCM加密。AES-GCM是一种NIST标准的认证加密算法,是一种能够同时保证数据的保密性、完整性和真实性的一种加密模式。它最广泛的应用是在TLS中。证书和回调报文使用的加密密钥为是一种NIST标准的APIv3密钥。商户需先在【商户平台】->【API安全】的页面设置APIv3密钥,密钥的长度为32个字节。下面是报文解密的函数实现:

func DecryptAES256GCM(aesKey, associatedData, nonce, ciphertext string) (string, error) {
   decodedCiphertext, err := base64.StdEncoding.DecodeString(ciphertext)
   if err != nil {
      return "", err
   }
   c, err := aes.NewCipher([]byte(aesKey))
   if err != nil {
      return "", err
   }
   gcm, err := cipher.NewGCM(c)
   if err != nil {
      return "", err
   }
   dataBytes, err := gcm.Open(nil, []byte(nonce), decodedCiphertext, []byte(associatedData))
   if err != nil {
      return "", err
   }
   return string(dataBytes), nil
}
go lang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【微信支付】微信小程序支付-V3接口(一)
z_xiao_qiang的博客
06-26 2278
微信小程序支付流程和前后端代码
微信支付v3 php回调函数 TP5 签名/验签/下载证书
fly_on_the_sky的博客
10-21 2399
微信支付v3 php回调函数 TP5 签名/验签/下载证书
巨坑的微信v3支付之平台证书
最新发布
hotlinhao的专栏
05-22 499
红框内是平台证书,点击管理证书,可以看到证书的序号。错误信息中第一个括号中的2ED38***这个就是应该使用的平台证书序号,而下面的your's 71B ,这个是你当前使用的错误的证收。经过排查,发现是平台证书错了。经过查询原因是,不同的微信支付使用的并不是同一个平台证书。这时候我们在调用平台证书的时候,使用每个商户对应的平台证书就可以了。所以需要根据不同的商户选择不同的平台证书。那就需要下载各自的证书。因为我们是SAAS系统,会有多个商户使用不同的商户证书。把这里的证书换成新的证书就可以了。
微信小程序开发笔记 支付篇①——微信支付的appid、mch_id、API证书、API密钥、APIv3密钥到底是什么东西
小康师兄
07-20 1万+
一篇文档给你解释清楚,微信支付的appid、mch_id、API证书、API密钥、APIv3密钥到底是什么东西
signature=64c2360954fd1970819616e99bb39516,签名验证, Wechatpay-Signature的字段值使用Base64进行解码是乱码,怎么处理?...
weixin_36302350的博客
05-30 942
签名验证, Wechatpay-Signature的字段值使用Base64进行解码是乱码,怎么处理?我的代码获取的Wechatpay-Signature 值是这样的:B5ij94EE7vCd8v/Aa25uP1O/UHUYUxBRxcW+hNK7fdv7prYYqdQqmzBnDySV/WAB+KBcxy/cugaCTXRCJd9Dj29fEj5NNUFr5j4+5bru82KKa95PHcHCk...
微信支付生成签名和验签SDK源码分析
weixin_52834606的博客
12-06 6037
微信支付生成签名和验签SDK源码分析
微信支付V3版本回调+验签流程
点滴记忆,分享成长之路
03-05 2万+
回调验签流程介绍 官方文档 https://pay.weixin.qq.com/wiki/doc/apiv3/apis/chapter3_4_5.shtml https://pay.weixin.qq.com/wiki/doc/apiv3/wechatpay/wechatpay4_1.shtml 注意: 同样的通知可能会多次发送给商户系统,商户系统必须能够正确处理重复的通知 确保回调URL是外部可正常访问的,且不能携带后缀参数
微信小程序开发项目实战_源代码.rar
09-19
微信小程序是一种轻量级的应用开发平台,主要针对移动端,由腾讯公司于2017年推出。它允许开发者通过微信生态构建无需安装、即用即走的应用程序,为用户提供便捷的服务体验。本项目实战旨在帮助开发者掌握微信小程序...
微信小程序点餐系统微信小程序开发实战
06-07
微信小程序点餐系统是当前移动互联网时代餐饮业中常见的技术应用,它利用微信小程序平台,为用户提供便捷的在线点餐服务。本项目实战教程将深入探讨如何开发这样一个系统,涵盖从设计、编码到上线的全过程。 一、...
微信小程序实战入门内含完整实例解析,微信小程序开发实战答案,HTML
09-10
微信小程序是一种轻量级的应用开发平台,由腾讯公司推出,主要应用于移动端,为用户提供便捷的服务和丰富的交互体验。它不需要安装即可使用,大大降低了用户的使用门槛。本篇内容将深入探讨微信小程序实战入门,...
CertificateDownloader:Java 微信支付 APIv3 平台证书的命令行下载工具
05-10
Certificate Downloader Certificate Downloader 是 Java 微信支付 APIv3 平台证书的命令行下载工具。该工具可从 https://api.mch.weixin.qq.com/v3/certificates 接口获取商户可用证书,并使用 和 AES_256_GCM 算法进行解密,并把解密后证书下载到指定位置。 该工具使用了 、、、、 等库。 使用 该工具已经通过 Maven 打包成 CertificateDownloader.jar,可在 中下载。 执行 java -jar CertificateDownloader.jar -h ,查看帮助: 这里,必需参数有: 商户的私钥文件,即 -f 证书解密的密钥,即 -k 商户号,即 -m 保存证书的路径,即 -o 商户证书序列号,即 -s 非必需参数有: 微信支付证书,用于验签,即 -c
微信小程序开发教程2.zip_微信小程序开发实战pdf
01-09
微信小程序开发教程2.zip
微信API v3踏坑记录
sunkuixing的专栏
08-21 4869
最近对接微信认证,使用到了wechatpay api v3 相较于之前微信支付API,主要区别是: 遵循统一的Restful的设计风格 使用JSON作为数据交互的格式,不再使用XML 使用基于非对称密钥的SHA256-RSA的数字签名算法,不再使用MD5或HMAC-SHA256 涉及资金回滚的接口,不再要求HTTPS客户端证书 使用AES-256-GCM,对回调中的关键信息进行加密保护 坑1....
php 微信支付V3接口
曲帅的博客
04-25 2316
注意 1,请求接口签名方式——RSA,用到了API证书序列号,后缀为key.pem的密钥文件,cert文件要用java自己生成参考:https://developers.weixin.qq.com/community/develop/doc/000e4a0d5dc1486acc19c6fd15bc00?_at=1569021781371 2,返给小程序或者H5的支付参数签名也要RSA加密,而且仅支持RSA加密。 3,支付成功回调的数据要解密,根据php版本有的需要安装libsodium-php扩展
(PHP)获取微信支付平台证书步骤
lingshuanglong的博客
09-26 3755
在创建微信支付客户端时遇到需要获取微信支付平台证书时遇到的问题和解决问题的步骤
微信支付中的p12证书提取公钥、私钥、证书序列号
rainyonelove的专栏
05-24 1万+
今天做微信支付开发,然后产品给我了相应的商户号、apikey、公众号、p12证书等等。说准备工作都已经做好了,可以进行开发了。但是我看微信文档里没有提到p12证书,都是pem证书。怎么办,百度吧。 原来我们常说的p12证书全称是PKCS#12(Public-Key Cryptography Standards:公钥加密标准,PKCS#12是一种交换数字证书的加密标准,用来描述个人身份信息。如:用户公钥、私钥、证书等。 微信的p12证书里包含了公钥、私钥、证书序列号。提取...
微信小程序免费SSL证书https、TLS版本问题的解决方案
热门推荐
布兰登与小程序
01-13 2万+
微信小程序与第三方服务器通讯的域名5个必要条件 1、一个已备案的域名,不是localhost、也不是127.0.0.1,域名不能加端口 2、加ssl证书,也就是https://~~~ 4、HTTPS 服务器的 TLS 版本支持1.2及以下版本,一般就是1.0、1.1、1.2要同时支持这三个版本,一个也不能少,要不然就会出现下面这种情况   5、微信小程序后台加上合
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

go lang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值