在支付行业中常常需要进行加密处理,按照支付网关那边的说法,MD5只能防篡改,无法实现鉴权的作用,因此参考支付宝的鉴权方式,使用RSA,方法为除一般的post、get参数外新增sign和callerId这两个字段,其中sign为签名,callerId由网关分配,除sign外的参数按字典序排列进行加密
1、安装openssl:sudo apt-get install openssl
2、进入openssl:openssl(mac直接openssl就能打开)
3、生成私钥:genrsa -out rsa_private_key.pem 1024
4、java开发需要转成PCKS8:pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt -out rsa_private_key_pkcs8.pem
php开发使用rsa_private_key.pem,java开发使用rsa_private_key_pkcs8.pem
5、生成公钥: rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
6、退出程序:exit
7、在当前文件夹下就可以找到一下三个文件:
php使用私钥:rsa_private_key.pem
java使用私钥:rsa_private_key_pkcs8.pem
公钥:rsa_public_key.pem
我们这里的签名方法如下
1、服务请求方生成待签名字符串:
在请求参数列表中,除去 sign 参数外的所有数据元采用key=value的形式按照名称排序,然后以&作为连接符拼接成待签名串。如果一个请求参数有post参数和get参数,则需要注意选择全签名和部分签名,需要告知服务提供方具体的参与签名数据的范围
注意:没有值的参数无需传递,也无需包含到待签名数据中
2、服务请求方请求时签名:
当拿到请求时的待签名字符串后,把待签名字符串与服务请求方的私钥一同放入RSA的签名函数中进行签名运算,从而得到签名结果字符串,放入sign字段中,上送到服务提供方。
3、服务提供方收到请求报文时验证签名:
服务提供方收到上游的请求报文,获得到请求报文的待签名字符串后,把待签名字符串、验签公钥、返回参数中的参数sign的值三者一同放入RSA的签名函数中进行非对称的签名运算,来判断签名是否验证通过。
915
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
