本文介绍了如何在Java中获取微信支付API V3的平台证书公钥以及如何动态刷新。通过调用接口/v3/certificates并进行签名,然后解密响应信息以获取加密的平台证书公钥,确保与微信支付服务器之间的安全交互。
1. 前言
在Java中的微信支付(1):API V3版本签名详解一文中胖哥讲解了微信支付V3版本API的签名,当我方(你自己的服务器)请求微信支付服务器时需要根据我方的API证书对参数进行加签,微信服务器会根据我方签名验签以确定请求来自我方服务器。那么同样的道理我方的服务器也要对微信支付服务器的响应进行鉴别来确定响应真的来自微信支付服务器,这就是验签。验签使用的是【微信支付平台证书公钥】,不是商户API证书。使用商户API证书是验证不过的。今天就来分享一下如何获得微信平台公钥和动态刷新微信平台公钥。
2. 获取微信平台证书公钥
微信平台证书是微信支付平台自己的证书,我们是管不了的,而且是有效期的。
微信服务器会定期更换,所以也要求我方定期获取公钥。而且我们只能通过调用接口/v3/certificates来获得,此接口也需要进行签名(可参考上一篇文章)。你可以获取证书后静态放到服务器上,手动更新静态证书;也可以动态获取一劳永逸。本文采取一劳永逸的办法。
平台证书接口文档:https://wechatpay-api.gitbook.io/wechatpay-api-v3/jie-kou-wen-dang/ping-tai-zheng-shu
3. 证书和回调报文解密
为了保证安全性,微信支付在回调通知和平台证书下载接口中,对关键信息进行了AES-256-GCM加密。也就是说我们拿到响应的信息是被加密的,需要解密后才能获得真正的微信平台证书公钥。响应体大致是这样的,具体根据你调用平台证书接口,应该大差不差是下面这个结构:
{ "data": [ { "effective_time": "2020-10-21T14:48:49+08:00", "encrypt_certificate": { // 加密算法 "algorithm": "AEAD_AES_256_GCM", // 附加数据包(可能为空) "associated_data": "certificate", // Base64编码后的密文 "ciphertext": "", // 加密使用的随机串初始化向量) "nonce": "88b4e15a0db9" }, "expire_time": "2025-10-20T14:48:49+08:00", // 证书序列号 "serial_no": "217016F42805DD4D5442059D373F98BFC5252599" } ]}
你可以使用各种JSON类库取得下面方法的参数进行解密以获取证书,同时这里需要用到APIv3密钥,通用的解密方式为:
/** * 解密响应体. * * @param apiV3Key API V3 KEY API v3密钥 商户平台设置的32位字符串 * @param associatedData response.body.data[i].encrypt_certificate.associated_data * @param nonce response.body.data[i].encrypt_certificate.nonce * @param ciphertext response.body.data[i].encrypt_certificate.ciphertext * @return the string * @throws GeneralSecurityException the general security exception */public String decryptResponseBody(String apiV3Key,String associatedData, String nonce, String ciphertext) { try { Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding"); SecretKeyS.........
1619
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
