1.1 生成待签名的字符串
1.1.1 需要参与签名的参数
在请求参数列表中,除去sign、sign_type两个参数外,其他需要使用到的参数皆是要签名的参数。(个别接口中参数sign_type也需要参与签名。)
在通知返回参数列表中,除去sign、sign_type两个参数外,凡是通知返回回来的参数皆是要签名的参数。
1.1.2 生成待签名字符串
对于如下的参数数组:
string[] parameters={
"service=create_direct_pay_by_user",
"partner=2088101568338364",
"_input_charset=gbk",
"return_url= http://www.test.com/alipay/return_url.asp",
"out_trade_no=6741334835157966",
"subject=贝尔金护腕式",
"payment_type=1 ",
"seller_email=alipay-test01@alipay.com",
"total_fee=100"
};
对数组里的每一个值从a到z的顺序排序,若遇到相同首字母,则看第二个字母,以此类推。
排序完成之后,再把所有数组值以“&”字符连接起来,如:
_input_charset=gbk&out_trade_no=6741334835157966&partner=2088101568338364&payment_type=1&return_url=http://www.test.com/alipay/return_url.asp &seller_email=alipay-test01@alipay.com&service=create_direct_pay_by_user& subject=贝尔金护腕式&total_fee=100
这串字符串便是待签名字符串。
l 没有值的参数无需传递,也无需包含到待签名数据中;
l 签名时将字符转化成字节流时指定的字符集与_input_charset保持一致;
l 如果传递了_input_charset参数,这个参数也应该包含在待签名数据中;
l 根据HTTP协议要求,传递参数的值中如果存在特殊字符(如:&、@等),那么该值需要做URL Encoding,这样请求接收方才能接收到正确的参数值。这种情况下,待签名数据应该是原生值而不是encoding之后的值。例如:调用某接口需要对请求参数email进行数字签名,那么待签名数据应该是email=test@msn.com,而不是email=test%40msn.com。
1.2 签名
1.2.1 MD5签名
在MD5签名时,需要私钥参与签名。MD5的私钥是以英文字母和数字组成的32位字符串。商户可登录到商户服务中心(https://b.alipay.com),安装数字证书,在“技术服务”栏目中点击“交易安全校验码”,即可查看。
l 请求时签名
当拿到请求时的待签名字符串后,需要把私钥直接拼接到待签名字符串后面,形成新的字符串,利用MD5的签名函数对这个新的字符串进行签名运算,从而得到32位签名结果字符串(该字符串赋值于参数sign)。
l 通知返回时验证签名
当获得到通知返回时的待签名字符串后,同理,需要把私钥直接拼接到待签名字符串后面,形成新的字符串,利用MD5的签名函数对这个新的字符串进行签名运算,从而得到32位签名结果字符串。此时这个新的字符串需要与支付宝通知返回参数中的参数sign的值进行验证是否相等,来判断签名是否验证通过。
1.2.2 DSA、RSA签名
在DSA或RSA的签名时,需要私钥和公钥一起参与签名。私钥与公钥皆是客户通过OPENSSL来生成得出的。客户把生成出的公钥与支付宝技术人员配置好的支付宝公钥做交换。因此,在签名时,客户要用到的是客户的私钥及支付宝的公钥。
l 请求时签名
当拿到请求时的待签名字符串后,把待签名字符串与客户的私钥一同放入DSA或RSA的签名函数中进行签名运算,从而得到签名结果字符串。
l 通知返回时验证签名
当获得到通知返回时的待签名字符串后,把待签名字符串、支付宝提供的公钥、支付宝通知返回参数中的参数sign的值三者一同放入DSA或RSA的签名函数中进行非对称的签名运算,来判断签名是否验证通过。
扫一扫
1253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
