微信支付服务器验证的java_关于java:Java中的微信支付3API-V3对微信服务器响应进行签名验证...

最新推荐文章于 2024-05-22 17:21:53 发布
最新推荐文章于 2024-05-22 17:21:53 发布
阅读量220 收藏
点赞数
文章标签: 微信支付服务器验证的java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42109925/article/details/114517533
版权

1. 前言

牢记一句话:公钥加密,私钥解密;私钥加签,公钥验签。

微信领取V3版本前两篇别离讲了如何对申请做签名和如何获取并刷新微信平台公钥,本篇将持续开展如何对微信领取响应后果的验签。

2. 为什么要对响应验签

微信领取会在回调的HTTP头部中包含回调报文的签名。商户必须验证响应的签名,保障响应的确来自微信领取服务器,防止中间人攻打。而验证响应签名除了须要微信平台的公钥外还须要从申请头的其它参数。

假如以下就是微信领取服务器的响应:

HTTP/1.1 200 OK

Server: nginx

Date: Tue, 02 Apr 2019 12:59:40 GMT

Content-Type: application/json; charset=utf-8

Content-Length: 2204

Connection: keep-alive

Keep-Alive: timeout=8

Content-Language: zh-CN

Request-ID: e2762b10-b6b9-5108-a42c-16fe2422fc8a

Wechatpay-Nonce: c5ac7061fccab6bf3e254dcf98995b8c

Wechatpay-Signature: CtcbzwtQjN8rnOXItEBJ5aQFSnIXESeV28Pr2YEmf9wsDQ8Nx25ytW6FXBCAFdrr0mgqngX3AD9gNzjnNHzSGTPBSsaEkIfhPF4b8YRRTpny88tNLyprXA0GU5ID3DkZHpjFkX1hAp/D0fva2GKjGRLtvYbtUk/OLYqFuzbjt3yOBzJSKQqJsvbXILffgAmX4pKql+Ln+6UPvSCeKwznvtPaEx+9nMBmKu7Wpbqm/+2ksc0XwjD+xlvlECkCxfD/OJ4gN3IurE0fpjxIkvHDiinQmk51BI7zQD8k1znU7r/spPqB+vZjc5ep6DC5wZUpFu5vJ8MoNKjCu8wnzyCFdA==

Wechatpay-Timestamp: 1554209980

Wechatpay-Serial: 5157F09EFDC096DE15EBE81A47057A7232F1B8E1

Cache-Control: no-cache, must-revalidate

{"prepay_id":"wx2922034726858082fbd40b511c67630000"}

查看平台证书序列号

微信领取响应的时候会携带一个微信平台证书序列号,从响应头中的Wechatpay-Serial字段中获取值,用来提醒咱们要应用该序列号的证书来进行验签,如果不存在就须要咱们刷新证书,而上一文咱们将平台证书序列号和证书以键值对存在HashMap中,咱们只须要查看是否存在即可,不存在就刷新。

结构验签名串

从响应后果中获取对应上面办法的三个参数就能够结构出验签名串。

/**

* 结构验签名串.

*

* @param wechatpayTimestamp HTTP头 Wechatpay-Timestamp 中的应答工夫戳。

* @param wechatpayNonce HTTP头 Wechatpay-Nonce 中的应答随机串

* @param body 响应体

* @return the string

*/

public String responseSign(String wechatpayTimestamp, String wechatpayNonce, String body) {

return Stream.of(wechatpayTimestamp, wechatpayNonce, body)

.collect(Collectors.joining("\n", "", "\n"));

}

验证签名

待验证的签名从响应头中的Wechatpay-Signature字段中获取,咱们应用微信领取平台公钥对验签名串和签名进行SHA256 with RSA签名验证。

// 结构验签名串

final String signatureStr = responseSign(wechatpayTimestamp, wechatpayNonce, body);

// 加载SHA256withRSA签名器

Signature signer = Signature.getInstance("SHA256withRSA");

// 用微信平台公钥对签名器进行初始化

signer.initVerify(certificate);

// 把咱们结构的验签名串更新到签名器中

signer.update(signatureStr.getBytes(StandardCharsets.UTF_8));

// 把申请头中微信服务器返回的签名用Base64解码 并应用签名器进行验证

boolean result = signer.verify(Base64Utils.decodeFromString(wechatpaySignature));

残缺的验签代码

/**

* 我方对响应验签,和应答签名做比拟,应用微信平台证书.

*

* @param wechatpaySerial response.headers['Wechatpay-Serial'] 以后应用的微信平台证书序列号

* @param wechatpaySignature response.headers['Wechatpay-Signature'] 微信平台签名

* @param wechatpayTimestamp response.headers['Wechatpay-Timestamp'] 微信服务器的工夫戳

* @param wechatpayNonce response.headers['Wechatpay-Nonce'] 微信服务器提供的随机串

* @param body response.body 微信服务器的响应体

* @return the boolean

*/

@SneakyThrows

public boolean responseSignVerify(String wechatpaySerial, String wechatpaySignature, String wechatpayTimestamp, String wechatpayNonce, String body) {

if (CERTIFICATE_MAP.isEmpty() || !CERTIFICATE_MAP.containsKey(wechatpaySerial)) {

refreshCertificate();

}

Certificate certificate = CERTIFICATE_MAP.get(wechatpaySerial);

final String signatureStr = createSign(wechatpayTimestamp, wechatpayNonce, body);

Signature signer = Signature.getInstance("SHA256withRSA");

signer.initVerify(certificate);

signer.update(signatureStr.getBytes(StandardCharsets.UTF_8));

return signer.verify(Base64Utils.decodeFromString(wechatpaySignature));

}

CERTIFICATE_MAP 平台证书容器可参考上一篇文章。

3. 总结

验签通过就阐明咱们申请的响应来自微信服务器就能够针对后果进行对应的逻辑解决了,微信领取API无论是V2还是V3都蕴含了应用Api证书对申请进行加签,对响应后果进行验签的流程,非常考验对明码摘要算法的应用,其它就是组织参数调用Http申请。如果你可能把握这一能力就会在面试中和工作中占到劣势。好了明天分享就到这里,多多关注: 码农小胖哥 获取更多实用的编程干货。

关注公众号:Felordcn 获取更多资讯

集体博客:https://felord.cn

Ruin-鸣
关注
Java对接微信支付(完整全流程)
weixin_44892785的博客
06-06 1万+
java对接微信支付
Java微信支付API V3微信服务器响应进行签名验证3
V539413949的博客
04-16 1059
前言 牢记一句话:公钥加密,私钥解密;私钥加签,公钥验签。 微信支付V3版本前两篇分别讲了如何对请求做签名和如何获取并刷新微信平台公钥,本篇将继续展开如何对微信支付响应结果的验签。 2. 为什么要对响应验签 微信支付会在回调的HTTP头部包括回调报文的签名。商户必须验证响应签名,保证响应确实来自微信支付服务器,避免间人攻击。而验证响应签名除了需要微信平台的公钥外还需要从请求头的其它参数。 假设以下就是微信支付服务器响应: HTTP/1.1 200 OK Server: nginx Date...
signature=64c2360954fd1970819616e99bb39516,签名验证, Wechatpay-Signature的字段值使用Base64进行解码是乱码,怎么处理?...
weixin_36302350的博客
05-30 1129
签名验证, Wechatpay-Signature的字段值使用Base64进行解码是乱码,怎么处理?我的代码获取的Wechatpay-Signature 值是这样的:B5ij94EE7vCd8v/Aa25uP1O/UHUYUxBRxcW+hNK7fdv7prYYqdQqmzBnDySV/WAB+KBcxy/cugaCTXRCJd9Dj29fEj5NNUFr5j4+5bru82KKa95PHcHCk...
Java实现微信支付(小程序支付JSAPI-V3)
m0_61470934的博客
09-13 1万+
做为一个全栈的小趴菜,刚接触微信支付业务模块的时候真的是一个头两个大,不知道怎么写,手足无措,在网上翻找各种微信支付的教程,结果对照微信支付官方文档才发现,网上 大部分的微信支付教程都是v2版本的,现在官网已经v3版本了,所以版本不同无法适用,今天给大家解决这个没有知识的痛苦。写代码之前首先要明白微信支付的支付流程。=>=>=>进入到库里面看下面的简介,有maven和gradle导包安装示例和使用这个工具包实现二维码支付的逻辑示例代码。我们要写的是微信小程序支付(JSAPI),所以需要自己写。
java微信小程序调用微信支付apiv3接口(最简洁代码)
最新发布
qq_47831064的博客
05-22 1343
没了,就这些就够了,因为大部分的代码都被开源IJPAY的大佬们帮忙封装好了。代码出自↑,借鉴前人栽树,后人乘凉的帖子,成功完成微信支付操作。代码简洁的原因是调用了github的IJPAY的聚合支付。配置类(需要提前在yml配置好所需参数。serviceimpl类。controller接口。
微信APIv3签名算法 java
w1170384758的博客
04-08 4336
官方文档,https://wechatpay-api.gitbook.io/wechatpay-api-v3/qian-ming-zhi-nan-1/qian-ming-sheng-cheng 注意点一:证书私钥获取,商户证书文件下载后,解压,如图,即可读到商户私钥,可以直接提取,也可以通过程序读取文件信息,官方地址:https://wechatpay-api.gitbook.io/wechat...
微信支付接口 java.security.InvalidKeyException: Illegal key size
03-31
对接微信接口因为jdk8解密长度不够 报错 java.security.InvalidKeyException: Illegal key size 替换路径:(记得备份原有的文件) C:\Program Files\Java\jdk1.8.0_131\jre\lib\security
asp V3微信支付服务器端代码.zip_Asp微信支付_DEMO_asp_v3_微信支付
09-24
ASP V3微信支付服务器端代码是针对微信支付接口开发的一套源码,主要适用于ASP编程环境,用于实现在线支付功能。这个DEMO是为开发者提供的一种快速理解和实践微信支付服务端逻辑的实例,包含了必要的API调用和业务...
java-sdk-v3.rar_IWXPayDomain_WXPayDomain_pie8nm_微信支付源代码_第三方支付
09-20
Java SDK V3微信支付为开发者提供的用于集成其支付服务的开发工具包,适用于Java编程环境。这个压缩包“java-sdk-v3.rar”包含了实现微信支付功能所需的关键类和接口,特别是`IWXPayDomain`和`WXPayDomain`两个...
微信支付 java服务器签名流程,Java微信支付(1):API V3版本签名详解
weixin_39620334的博客
08-12 1555
1. 前言最近在折腾微信支付,证书还是比较烦人的,所以有必要分享一些经验,减少你在开发微信支付时的踩坑。目前微信支付API已经发展到V3版本,采用了流行的Restful风格。今天来分享微信支付的难点——签名,虽然有很多好用的SDK但是如果你想深入了解微信支付还是需要了解一下的。2. API证书为了保证资金敏感数据的安全性,确保我们业务的资金往来交易万无一失。目前微信支付第三方签发的权威的CA证...
java微信支付(小程序),退款(V3版本)
11-19
开发java微信支付(小程序),退款(V3版本)
Java微信支付(3):API V3微信支付签名验证
DN金猿的博客
12-17 4115
1. 前言 微信支付V3版本前两篇分别讲了如何对请求做签名和如何获取并刷新微信平台公钥,本篇将继续展开如何对微信支付响应结果的验签。 2. 为什么要对响应验签 微信支付会在回调的HTTP头部包括回调报文的签名。商户必须验证响应签名,保证响应确实来自微信支付服务器,避免间人攻击。而验证响应签名除了需要微信平台的公钥外还需要从请求头的其它参数。 假设以下就是微信支付服务器响应: HTTP/1.1 200 OK Server: nginx Date: Tue, 02 Apr 2019 12:5
为了写这个Java微信支付V3开发包,我找出了微信支付文档至少六个错误
码农小胖哥
12-15 1643
1. 前言最近忙的一批,难得今天有喘气的机会就赶紧把最近在开发的一些成果分享出来。前几日分享了自己写的一个微信支付 V3 的开发包payment-spring-boot-starter...
Java微信APP支付-统一下单
木头若愚
08-22 5760
最近因为公司的业务需要,需要自主开发一套类似淘宝、京东的购物APP系统,本人负责后端在线支付模块接口的开发,主要包含微信、支付宝的统一下单、支付结果通知、申请退款、退款结果通知等接口的开发。费话不多说,我们这一章主要讲述微信APP支付的统一下单接口的开发。 官方的API地址:https://pay.weixin.qq.com/wiki/doc/api/app/app.php?chapter=9_...
Java接入微信支付ApiV3详细教程
热门推荐
weixin_51123481的博客
05-01 1万+
一.继承支付 微信支付官网:Native支付产品介绍-文档心-微信支付商户平台 github官网:GitHub - wechatpay-apiv3/wechatpay-apache-httpclient: 微信支付 APIv3 Apache HttpClient装饰器(decorator) 基础支付APIv3 1.使用我们的这个微信支付接口的这些需要准备的信息(由于我没有去申请商户信息),我们可以使用properties的文件来实现具体信息的读取 在这里需要注意的是接受结果通知地址是不一样的,因
微信支付生成签名和验签SDK源码分析
weixin_52834606的博客
12-06 6393
微信支付生成签名和验签SDK源码分析
java开发微信服务号(四) 验证消息的确来自微信服务器
软茶室
04-02 1777
为了在公众号里配置下图时使用的代码: Controller层代码: import com.weixin.wxDemo.service.CheckTokenService; import lombok.extern.log4j.Log4j; import org.springframework.beans.factory.annotation.Autowired; import org.s...
微信小程序支付V3版本接口实现
斌仔的小博客
07-15 6021
微信小程序V3接口支付
微信支付回调验证签名javaV3
Life is for sharing的博客
09-08 8911
1.解析微信回调数据 2.解析微信返回的XML数据 3.验证微信返回签名的合法性 微信支付javaV3验证数据合法性 概要:使用微信支付接口时,微信会返回或回调给商户XML数据,开发者需要验证微信返回的数据是否合法。 特别提醒:商户系统对于支付结果通知的内容一定要做签名验证,防止数据泄漏导致出现“假通知”,造成资金损失。 1.解析微信回调数据 InputS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值