支付宝php 验签 解密,支付宝iOS SDK Demo加密解密分析(2)

上一篇文章讲了支付宝iOS SDK加密解密的逻辑，主要是从客户端开发的角度分析。这篇文章会根据支付宝服务端php demo，来分析服务端的加密解密流程。

按照支付的场景，当用户支付完成后，客户端的逻辑就执行完了。这个时候支付宝会回调商家设置的notifyURL，这个值是在客户端设置的。

order.notifyURL = @"http://www.xxx.com"; //回调URL

这个url是商品自己的服务端url，用来处理支付宝的回调。这个回调URL需要解决两个问题：

证明请求是由支付宝发起的

证明请求的数据在传输过程中没有被篡改

其实这两个问题在上一篇文章里也已经遇到了，解决方案和上一篇文章也差不多，只不过这次角色对调了。

解决方案：

支付宝用自己的私钥将特征码加密后，将此数据发给商家服务器，服务器使用支付宝的公钥对密文进行解密，如果解密成功可唯一确定这是用支付宝的私钥加密的密文。

支付宝对商品数据做SHA1签名，得到一个和这个商品信息唯一相关的字符串，然后对这个字符串加密，然后将这个加密后的字符串给商户服务器，商户拿到商品信息和这个加密后的字符串后，首先解密，还原为SHA1签名字符串，然后对商品信息进行SHA1签名，对比这两个SHA1签名字符串，如果相等，那么这个商品一定没有被篡改过。因为如果信息被篡改，那么这个SHA1签名肯定不一样；如果有人想要伪造这个SHA1签名，又需要私钥，所以这就保证了这个商品是支付宝发的。

原理清楚了，我们看看支付宝提供的php demo是怎么具体处理的。

//notify.php

//计算得出通知验证结果

$alipayNotify = new AlipayNotify($alipay_config);

if($alipayNotify->getResponse($_POST['notify_id']))//判断成功之后使用getResponse方法判断是否是支付宝发来的异步通知。

{

if($alipayNotify->getSignVeryfy($_POST, $_POST['sign'])) {//使用支付宝公钥验签

这里通过调用getSignVeryfy，用支付宝公钥验签

//alipay_notify.class.php

/**

* 获取返回时的签名验证结果

* @param $para_temp 通知返回来的参数数组

* @param $sign 返回的签名结果

* @return 签名验证结果

*/

function getSignVeryfy($para_temp, $sign) {

//除去待签名参数数组中的空值和签名参数

$para_filter = paraFilter($para_temp);

//对待签名参数数组排序

$para_sort = argSort($para_filter);

//把数组所有元素，按照“参数=参数值”的模式用“&”字符拼接成字符串

$prestr = createLinkstring($para_sort);

$isSgin = false;

switch (strtoupper(trim($this->alipay_config['sign_type']))) {

case "RSA" :

$isSgin = rsaVerify($prestr, trim($this->alipay_config['alipay_public_key']), $sign);

break;

default :

$isSgin = false;

}

return $isSgin;

}

这里通过rsaVerify($data, $alipay_public_key, $sign)完成验签，$data是待签名数据，它是把_POST数组所有元素，按照“参数=参数值”的模式用“&”字符拼接成字符串，也就是所有的商品参数。$alipay_public_key是支付宝的公钥字符串，$sign是要要校对的的签名结果，它的值是通过$_POST['sign']获取的。函数实现如下

/**

* RSA验签

* @param $data 待签名数据

* @param $alipay_public_key 支付宝的公钥字符串

* @param $sign 要校对的的签名结果

* return 验证结果

*/

function rsaVerify($data, $alipay_public_key, $sign) {

//以下为了初始化私钥，保证在您填写私钥时不管是带格式还是不带格式都可以通过验证。

$alipay_public_key=str_replace("-----BEGIN PUBLIC KEY-----","",$alipay_public_key);

$alipay_public_key=str_replace("-----END PUBLIC KEY-----","",$alipay_public_key);

$alipay_public_key=str_replace("\n","",$alipay_public_key);

$alipay_public_key='-----BEGIN PUBLIC KEY-----'.PHP_EOL.wordwrap($alipay_public_key, 64, "\n", true) .PHP_EOL.'-----END PUBLIC KEY-----';

$res=openssl_get_publickey($alipay_public_key);

if($res)

{

$result = (bool)openssl_verify($data, base64_decode($sign), $res);

}

else {

echo "您的支付宝公钥格式不正确!"."
"."The format of your alipay_public_key is incorrect!";

exit();

}

openssl_free_key($res);

return $result;

}

这里通过openssl_verify()，完成验签。

openssl_verify() verifies that the signature is correct for the specified data using the public key associated with pub_key_id. This must be the public key corresponding to the private key used for signing.

如果验签成功，执行业务逻辑代码，比如订单状态变更等；否则，提示错误信息。

总结：

通过RSA加密，支付宝保证了数据的安全传递。类似地，如果需要实现客户端和服务器加密传输，我们可以采用类似的策略，来保证数据的安全传输。