微信官方支付验签源码分析

最新推荐文章于 2023-02-01 20:57:23 发布
最新推荐文章于 2023-02-01 20:57:23 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: 微信篇 java 文章标签: 微信支付
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_17073527/article/details/80014658
版权

1.背景

随着微信的迅速崛起,在互联网支付的方式中,微信支付成了举足轻重的一部分。作为程序员,在朝着互联网靠拢的途中,了解微信支付必不可少。此处,笔者分享一下微信官方对于微信回调通知返回的xml数据进行支付验证签名的处理。

2.源码分析

1.官方地址:https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

2.源码分析(注释解释)

/**
     * 判断签名是否正确
     *
     * @param xmlStr XML格式数据
     * @param key API密钥
     * @return 签名是否正确
     * @throws Exception
     */
 public static boolean isSignatureValid(String xmlStr, String key) throws Exception {
    //将xml格式数据转化为map格式   
    Map<String, String> data = xmlToMap(xmlStr);
        if (!data.containsKey(WXPayConstants.FIELD_SIGN) ) {
            //如果返回xml数据中不包含sign签名标记数据,则直接返回false
            return false;
        }
        //获取微信返回数据中的sign签名数据
        String sign = data.get(WXPayConstants.FIELD_SIGN);
        //将data和key进行签名组装,与返回数据中的sign签名数据对比
        return generateSignature(data, key).equals(sign);
    }

/**
     * 生成签名
     *
     * @param data 待签名数据
     * @param key API密钥
     * @return 签名
     */
    public static String generateSignature(final Map<String, String> data, String key) throws Exception {
        return generateSignature(data, key, SignType.MD5);
    }

 /**
     * 生成签名. 注意,若含有sign_type字段,必须和signType参数保持一致。
     *
     * @param data 待签名数据
     * @param key API密钥
     * @param signType 签名方式
     * @return 签名
     */
    public static String generateSignature(final Map<String, String> data, String key, SignType signType) throws Exception {
        //通过keySet获取所有的key集合
        Set<String> keySet = data.keySet();
        //将set转化为数组keyArray
        String[] keyArray = keySet.toArray(new String[keySet.size()]);
        //数组升序排序
        Arrays.sort(keyArray);
        //构建StringBuilder字符串变量
        StringBuilder sb = new StringBuilder();
        //for循环key数组
        for (String k : keyArray) {
            //(重点1)如果数组中包含sign,则继续,不做字符串拼接操作
            if (k.equals(WXPayConstants.FIELD_SIGN)) {
                continue;
            }
             // 参数值为空,则不参与签名
            if (data.get(k).trim().length() > 0)
                //字符串拼接形式:key1=value1&key2=value2
                sb.append(k).append("=").append(data.get(k).trim()).append("&");
        }
        //(重点2)拼接密钥,参数上传的密钥
        sb.append("key=").append(key);
        //如果签名加密方式为MD5,则将字符串所有的英文字符转换为大写字母,再做MD5编码,返回md5加密结果
        if (SignType.MD5.equals(signType)) {
            //(重点3)返回加密结果字符串
            return MD5(sb.toString()).toUpperCase();
        }
        //如果签名加密方式为HMACSHA256,则直接将字符串和key密钥直接生成 HMACSHA256
        else if (SignType.HMACSHA256.equals(signType)) {
            //(重点3)返回加密结果字符串
            return HMACSHA256(sb.toString(), key);
        }
        //如果是其他加密方式,则报异常
        else {
            throw new Exception(String.format("Invalid sign_type: %s", signType));
        }
    }

3.回顾

思想:分析微信支付回调通知中的数据,将签名sign过滤掉,替换成API支付密钥,然后做字符串拼接,做MD5或HMACSHA256加密,返回加密结果字符串的一个逆向替换过程。再和微信数据中的sign签名做对比。相同则,验签通过。否则,不通过。

雨果是程序员
关注
专栏目录
第五节、项目支付功能实战-证书获取、微信支付集成初始化配置、sdk统一下单、api安全源码解读
superzhang6666的博客
12-26 1643
本节首先会讲解商户证书、私钥、微信平台证书的获取、APIv3密钥的生成。然后将我们微信支付需要的参数配置信息初始化出来,为后面的业务代码使用。结合微信平台证书下载案例和微信统一下单api来讲解请求和响应都做了什么操作。上一节中我们提到的那些证书又是如何应用在接口中的。最后再讲一下如何做内外网穿透。
Java中的微信支付:API V3 微信平台证书的获取与刷新2
V539413949的博客
04-16 2587
1. 前言 当我方(你自己的服务器)请求微信支付服务器时需要根据我方的API证书对参数进行加签,微信服务器会根据我方签名验签以确定请求来自我方服务器。那么同样的道理我方的服务器也要对微信支付服务器的响应进行鉴别来确定响应真的来自微信支付服务器,这就是验签验签使用的是**【微信支付平台证书公钥**】,不是商户API证书。使用商户API证书是验证不过的。今天就来分享一下如何获得微信平台公钥和动态刷新微信平台公钥。 2. 获取微信平台证书公钥 微信平台证书是微信支付平台自己的证书,我们是管不了的,而且是有效.
java 微信支付吊起 验签源码
weixin_41017121的博客
12-16 322
微信支付 自己以前没做过微信支付的时候很是迷茫,现把2020最新附上,直接上代码 吊起支付 public JsonResult wxPay(String ids) throws Exception { double total = 0; //这里更具自己需求自定义就好可忽略 String[] orderIds = ids.split(","); for(int i = 0;i<orderIds.length;i++) { Order order = this.orderSer
Java架构学习(五十三)支付宝平台源码分析&支付概念&支付架构整个流程&支付宝沙箱环境&安全加密方式&支付宝Demo环境运行&支付宝流程源码分析
Leeue李月
01-22 777
一、支付概念 现在有的支付机构: 支付宝、微信支付、京东支付、银联支付、小米支付、百度钱包、平安支付。 整个支付体系的流程都是大同小异的。 聚合支付平台。 二、支付架构整个流程 ...
10-11 支付支付源码解读
huanglianggu的专栏
05-19 572
支付支付成功后 跳转的页面 return_url="http://47.92.87.172:8000/" 需要 debug 下运行 然后付款成功,才会跳转。 ...
微信支付客户端调用Java API接口付款(验签、Xml封装、订单生成)
侯正海
10-19 1987
一、工具类 1、生成订单 package com.utils; import java.text.SimpleDateFormat; import java.util.Date; import java.util.Random; public class WxOrderUtils {     public static String getOrderNo() {         Sim...
wxpay-sdk 接入微信支付sdk0.0.3,前端第二次调用之后支付验证签名失败
u013934601的博客
08-06 1086
报错,明显你的签名有问题,现在分析签名如何生成 微信H5内置对象唤起方式: function onBridgeReady(){ WeixinJSBridge.invoke( ‘getBrandWCPayRequest’, { “appId”:“wx2421b1c4370ec43b”, //微信公众号APPID “timeStamp”:“1395712654”, //时间戳,自1970年以来的秒数 “nonceStr”:“e61463f8efa94090b1f366cccfbbb44
PHP微信H5支付完整代码(包含回调后台代码),改好商户资料和您回调地址即可使用
03-02
9. **验签与安全**:为了防止数据被篡改,微信支付的每个请求和响应都会携带一个签名,开发者需要验证这个签名的正确性,以确保数据的安全性。 10. **支付成功通知**:当用户完成支付后,微信服务器会通过回调地址...
java微信支付源码-hip-utils:java常用工具,微信支付,solr,常用jdk源码注释等等
05-25
"java微信支付源码-hip-utils"是一个针对Java开发者设计的工具库,包含了一些常用工具类、微信支付的实现代码以及对Solr搜索引擎的集成。这个库对于理解和实践Java微信支付功能具有很高的参考价值。 首先,让我们...
Java中的微信支付:API V3对微信服务器响应进行签名验证3
V539413949的博客
04-16 1041
前言 牢记一句话:公钥加密,私钥解密;私钥加签,公钥验签微信支付V3版本前两篇分别讲了如何对请求做签名和如何获取并刷新微信平台公钥,本篇将继续展开如何对微信支付响应结果的验签。 2. 为什么要对响应验签 微信支付会在回调的HTTP头部中包括回调报文的签名。商户必须验证响应的签名,保证响应确实来自微信支付服务器,避免中间人攻击。而验证响应签名除了需要微信平台的公钥外还需要从请求头的其它参数。 假设以下就是微信支付服务器的响应: HTTP/1.1 200 OK Server: nginx Date...
微信支付生成签名验签SDK源码分析
weixin_52834606的博客
12-06 6328
微信支付生成签名验签SDK源码分析
微信公众号实现支付功能(基于官方sdk实现)--备忘001
辉的博客
03-25 3178
首先要明白微信支付相关的三个账号微信公众平台微信支付-商户平台微信-开放平台1:一定要认真阅读官方开发文档,不然好多坑啊微信公众号开发文档官方sdk-maven&lt;dependency&gt; &lt;groupId&gt;com.github.wxpay&lt;/groupId&gt; &lt;artifactId&gt;wxpay-sdk&l...
java服务端,微信支付功能的实现
等夏天
08-26 7366
接入微信支付功能在java服务端,现在记录下来这个过程,方便以后用到。代码都是参考网络,功能可以实现     ①,写一个接口,作为参数配置的接口,当然也可以不用接口,直接在类中以属性的方式配置相应的参数。          public interface WXPayConfig { /** * 获取 App ID
模拟微信支付通过appid、appsecret使用md5获取sign,实现接口验签
it1993的博客
03-06 4329
使用场景,在接口开发过程中,我们通常不能暴露一个接口给第三方随便调用,要对第三方发来参数进行校验,看是不是具有访问权限,在微信支付接口中也是这个道理,我们要开通微信支付微信会提供给我们appid(公众账号ID)、mer_id(商户号),appsecret(密钥),然后通过字段拼接,获取签名,发送给微信微信验证没有问题才会返回正确数据。 注意:MD5验签有两个作用 1. 保证数据在传输过程中...
在线支付系列【13】微信支付签名验签流程分析
记录知识、锤炼自我
02-01 1410
在上篇文档中,我们简单实现了对接微信支付的几个接口。了解到框架自动实现了签名验签,接下来跟踪下源码,了解下具体流程~每次请求时,都会使用到商户证书、微信平台证书互相签名验签,确保支付安全性。
微信公众号Token验证 signature验证
qq_21834227的博客
05-22 2502
首先去公众号的后台配置 URL,然后在 代码 的页面验证Token 代码为 $signature = $_GET["signature"]; $timestamp = $_GET["timestamp"]; $nonce = $_GET["nonce"]; $echostr = $_GET["echostr"]; $token = "jia7777777"; $tmpArr = ...
微信JSAPI支付签名算法(附通用代码)
我就叫贝塔
07-08 3101
签名算法 签名生成的通用步骤如下: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。 特别注意以下重要规则: ◆ 参数名ASCII码从小到大排序(字典序); ◆ 如果参数的值为空不参与签名; ◆ 参数名区分大小写; ◆ 验证调用返回或微信主动通知签名时,传送的sign参数不参与签名,将生成的签名与该sign值作校验。 ◆ 微信接口
微信支付宝,支付异步通知验签,notify_url
cocoaxian的博客
08-14 6433
验签,notify_url,签名不一致,
java数字签名验签、随机串等操作
chinoukin的博客
03-04 2375
数字签名(又称公钥数字签名、电子签章等)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。 数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。 数字签名是非对称密钥加密技术与数字摘要技术的应用。 做微信支付...
微信支付 sdk 验签
最新发布
05-17
微信支付 SDK 验签的基本流程如下: 1. 从微信支付服务器获取支付结果通知(XML 格式)。 2. 将 XML 格式的支付结果通知转换成 Map 对象。 3. 对 Map 对象中的参数按照 key 值进行字典序排序。 4. 将排序后的参数拼接成一个字符串,格式为 key1=value1&key2=value2&...&keyn=valuen。 5. 将拼接后的字符串与商户密钥进行拼接,得到一个新的字符串。 6. 对新的字符串进行 MD5 签名,得到一个签名值。 7. 将签名值与支付结果通知中的 sign 字段进行比较,如果一致则代表验签通过。 以下是一个 Java 实现的示例代码: ```java import java.util.*; import java.security.*; import javax.xml.bind.DatatypeConverter; public class WxPay { // 商户密钥 private static final String KEY = "your_key_here"; // 验证微信支付通知 public static boolean verify(Map<String, String> params) { // 将参数按照 key 值进行字典序排序 List<String> keys = new ArrayList<String>(params.keySet()); Collections.sort(keys); // 拼接参数字符串 String paramStr = ""; for (String key : keys) { String value = params.get(key); if (!value.isEmpty() && !key.equals("sign")) { paramStr += key + "=" + value + "&"; } } paramStr += "key=" + KEY; // 对参数字符串进行 MD5 签名 String sign = null; try { MessageDigest md5 = MessageDigest.getInstance("MD5"); byte[] bytes = md5.digest(paramStr.getBytes("UTF-8")); sign = DatatypeConverter.printHexBinary(bytes).toLowerCase(); } catch (Exception e) { return false; } // 比较签名值 return sign.equals(params.get("sign")); } } ``` 调用示例: ```java // 获取支付结果通知 Map<String, String> params = ...; // 验证支付通知 if (WxPay.verify(params)) { // 验签通过,处理支付结果 } else { // 验签失败,忽略该支付通知 } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值