Java中的微信支付(3):API V3微信支付签名验证

最新推荐文章于 2024-02-23 15:36:38 发布
最新推荐文章于 2024-02-23 15:36:38 发布
阅读量3.8k 收藏 3
点赞数
分类专栏: spring及springboot 文章标签: 微信 java 开发语言
原文链接:https://felord.cn/wechat-pay-api-v3-response-verify.html
版权

1. 前言

微信支付V3版本前两篇分别讲了如何对请求做签名和如何获取并刷新微信平台公钥,本篇将继续展开如何对微信支付响应结果的验签。

2. 为什么要对响应验签

微信支付会在回调的HTTP头部中包括回调报文的签名。商户必须验证响应的签名,保证响应确实来自微信支付服务器,避免中间人攻击。而验证响应签名除了需要微信平台的公钥外还需要从请求头的其它参数。

假设以下就是微信支付服务器的响应:

HTTP/1.1 200 OK
Server: nginx
Date: Tue, 02 Apr 2019 12:59:40 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 2204
Connection: keep-alive
Keep-Alive: timeout=8
Content-Language: zh-CN
Request-ID: e2762b10-b6b9-5108-a42c-16fe2422fc8a
Wechatpay-Nonce: c5ac7061fccab6bf3e254dcf98995b8c
Wechatpay-Signature: CtcbzwtQjN8rnOXItEBJ5aQFSnIXESeV28Pr2YEmf9wsDQ8Nx25ytW6FXBCAFdrr0mgqngX3AD9gNzjnNHzSGTPBSsaEkIfhPF4b8YRRTpny88tNLyprXA0GU5ID3DkZHpjFkX1hAp/D0fva2GKjGRLtvYbtUk/OLYqFuzbjt3yOBzJSKQqJsvbXILffgAmX4pKql+Ln+6UPvSCeKwznvtPaEx+9nMBmKu7Wpbqm/+2ksc0XwjD+xlvlECkCxfD/OJ4gN3IurE0fpjxIkvHDiinQmk51BI7zQD8k1znU7r/spPqB+vZjc5ep6DC5wZUpFu5vJ8MoNKjCu8wnzyCFdA==
Wechatpay-Timestamp: 1554209980
Wechatpay-Serial: 5157F09EFDC096DE15EBE81A47057A7232F1B8E1
Cache-Control: no-cache, must-revalidate

{"prepay_id":"wx2922034726858082fbd40b511c67630000"}

检查平台证书序列号

微信支付响应的时候会携带一个微信平台证书序列号,从响应头中的Wechatpay-Serial字段中获取值,用来提示我们要使用该序列号的证书来进行验签,如果不存在就需要我们刷新证书,而上一文我们将平台证书序列号和证书以键值对存在HashMap中,我们只需要检查是否存在即可,不存在就刷新。

构造验签名串

从响应结果中获取对应下面方法的三个参数就可以构造出验签名串。

/**
 * 构造验签名串.
 *
 * @param wechatpayTimestamp HTTP头 Wechatpay-Timestamp 中的应答时间戳。
 * @param wechatpayNonce     HTTP头 Wechatpay-Nonce 中的应答随机串
 * @param body               响应体
 * @return the string
 */
public String responseSign(String wechatpayTimestamp, String wechatpayNonce, String body) {
    return Stream.of(wechatpayTimestamp, wechatpayNonce, body)
            .collect(Collectors.joining("\n", "", "\n"));
}

验证签名

待验证的签名从响应头中的Wechatpay-Signature字段中获取,我们使用微信支付平台公钥对验签名串和签名进行SHA256 with RSA签名验证。

// 构造验签名串  
        final String signatureStr = responseSign(wechatpayTimestamp, wechatpayNonce, body);
   // 加载SHA256withRSA签名器
        Signature signer = Signature.getInstance("SHA256withRSA");
  // 用微信平台公钥对签名器进行初始化
        signer.initVerify(certificate);
   // 把我们构造的验签名串更新到签名器中
        signer.update(signatureStr.getBytes(StandardCharsets.UTF_8));
   // 把请求头中微信服务器返回的签名用Base64解码 并使用签名器进行验证
        boolean result = signer.verify(Base64Utils.decodeFromString(wechatpaySignature));

 完整的验签代码

/**
 * 我方对响应验签,和应答签名做比较,使用微信平台证书.
 *
 * @param wechatpaySerial    response.headers['Wechatpay-Serial']    当前使用的微信平台证书序列号
 * @param wechatpaySignature response.headers['Wechatpay-Signature']   微信平台签名
 * @param wechatpayTimestamp response.headers['Wechatpay-Timestamp']  微信服务器的时间戳
 * @param wechatpayNonce     response.headers['Wechatpay-Nonce']   微信服务器提供的随机串
 * @param body               response.body 微信服务器的响应体
 * @return the boolean
 */
@SneakyThrows
public boolean responseSignVerify(String wechatpaySerial, String wechatpaySignature, String wechatpayTimestamp, String wechatpayNonce, String body) {

    if (CERTIFICATE_MAP.isEmpty() || !CERTIFICATE_MAP.containsKey(wechatpaySerial)) {
        refreshCertificate();
    }
    Certificate certificate = CERTIFICATE_MAP.get(wechatpaySerial);

    final String signatureStr = createSign(wechatpayTimestamp, wechatpayNonce, body);
    Signature signer = Signature.getInstance("SHA256withRSA");
    signer.initVerify(certificate);
    signer.update(signatureStr.getBytes(StandardCharsets.UTF_8));

    return signer.verify(Base64Utils.decodeFromString(wechatpaySignature));
}

CERTIFICATE_MAP 平台证书容器可参考上一篇文章。

3. 总结

验签通过就说明我们请求的响应来自微信服务器就可以针对结果进行对应的逻辑处理了,微信支付API无论是V2还是V3都包含了使用Api证书对请求进行加签,对响应结果进行验签的流程,十分考验对密码摘要算法的使用,其它就是组织参数调用Http请求。如果你能够掌握这一能力就会在面试中和工作中占到优势。好了今天分享就到这里,多多关注: 码农小胖哥 获取更多实用的编程干货。

 

DN金猿
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信支付接口的签名校验工具(官方在线工具)
惠惠软件
05-20 4016
我们在对微信支付接口的签名进行校验时候,可以通过官方的在线工具查询和获取信息。 地址:https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=20_1 步骤一:校验签名 步骤二:检查请求参数是否正确 步骤三:检查商户号密钥是否正确 特别注意的是: 特别注意的是:注意密钥时候准确! 设置路径:微信商户平台(pay.weixin.qq.com)-->账户心-->账户设置-->API安全--&gt...
java遇到微信小程序 "支付验证签名失败" 问题解决
10-15
主要介绍了java遇到微信小程序 "支付验证签名失败" 问题解决,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
微信支付v3一整套,支付发起,签名,回调
05-30
微信支付,从后端发起支付,给前端签名,和返回相应参数,微信回调到后端数据处理,一条龙解决
微信支付V3版本回调+验签流程
热门推荐
点滴记忆,分享成长之路
03-05 2万+
回调验签流程介绍 官方文档 https://pay.weixin.qq.com/wiki/doc/apiv3/apis/chapter3_4_5.shtml https://pay.weixin.qq.com/wiki/doc/apiv3/wechatpay/wechatpay4_1.shtml 注意: 同样的通知可能会多次发送给商户系统,商户系统必须能够正确处理重复的通知 确保回调URL是外部可正常访问的,且不能携带后缀参数
java验证微信支付回调签名
最新发布
牛肉胡辣汤
02-23 1133
通过以上步骤,我们可以使用Java验证微信支付回调签名。核对回调参数、拼接字符串、生成签名以及验证签名的过程,确保了支付回调的安全性和完整性。在实际开发,建议将以上逻辑封装为一个工具类或方法,以方便重复使用。
微信支付javaV3验证数据合法性(Deom)
09-01
主要介绍了微信支付javaV3验证数据合法性(Deom)的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
微信支付接口 java.security.InvalidKeyException: Illegal key size
03-31
对接微信接口因为jdk8解密长度不够 报错 java.security.InvalidKeyException: Illegal key size 替换路径:(记得备份原有的文件) C:\Program Files\Java\jdk1.8.0_131\jre\lib\security
java微信支付(小程序),退款(V3版本)
11-19
开发java微信支付(小程序),退款(V3版本)
微信支付生成签名和验签SDK源码分析
weixin_52834606的博客
12-06 4799
微信支付生成签名和验签SDK源码分析
微信支付签名错误解决方法
weixin_64051447的博客
06-20 2521
签名参数无误时,就是签名的方式有问题,可以使用以下方式检查注意红色方框内容,【\n】在验签工具明文是换行的意思,不是字符串,注意一共有5个,所以POST请求在验签工具里面最后一行需要换一行,GET需要换两行,并且GET请求需要在URL末尾附加有’?'和对应的查询字符串POST请求可参考以下截图GET请求可参考以下截图,注意【?】为英文状态下的?
微信支付签名与验签-APP支付问题
longddechuanren的专栏
04-08 3293
使用API v3微信支付遇到的问题: 1.jdk版本问题, 自动更新证书加载失败, 改成jdk11解决; 2.请求头必须设置请求头 Accept, content-Type 3.通知接收 RequestBody 必须使用Object, 如果用实体类JSON化后属性位置可能发生变化, 影响验签, 不同的JSON类会影响转成字符串后的属性顺序, 我用的是 com.fasterxml.jackson.databind.ObjectMapper 用阿里的JSON类验签不行 4.支付通知本地调试: 配置ng.
企业支付开发基础 | 微信支付 | 支付安全(证书/秘钥/签名
杨明金的博客
02-16 4641
摘要算法就是我们常说的散列函数、哈希函数(Hash Function),它能够把任意长度的数据“压缩”成 固定长度、而且独一无二的“摘要”字符串,就好像是给这段数据生成了一个数字“指纹”。作用保证信息的完整性特性不可逆:只有算法,没有秘钥,只能加密,不能解密难题友好性:想要破解,只能暴力枚举发散性:只要对原文进行一点点改动,摘要就会发生剧烈变化抗碰撞性:原文不同,计算后的摘要也要不同常见摘要算法。
java微信支付工具类v3版:微信支付v3版+微信退款v3版+微信交易状态查询+企业打款
06-09
微信支付工具类v3版 包含: 1. 微信支付v3版 2. 微信退款v3版 3. 微信交易状态查询 4. 企业打款到个人零钱(旧版) 本人在企业项目使用,自己封装的的微信交易相关的一套工具类。 直接调用方法传入对应的参数即可。 如果有什么问题可以留言讨论。
C#微信支付V3生成签名,发送请求
09-16
包含生成v3签名,发送请求。解析数据,注释齐全,新手都可以看的懂,下载就能用,省去工作量。
c# 微信支付API V3支付回调签名验证
书写人生
12-23 2074
微信支付会在回调的HTTP头部包括回调报文的签名。商户必须 验证回调的签名,以确保回调是由微信支付发送。
JAVA微信支付分生成签名
wml_JavaKill的博客
10-26 1439
JAVA微信支付分生成签名 //生成签名的方法: public class CreateSigner { public static Map<String,Object> getToken(String method, HttpUrl url, String body) throws IOException, SignatureException, NoSuchAlgorithmException, InvalidKeyException { String nonceStr = Stri
关于微信小程序支付APIv2“签名验证失败”问题解决方案
weixin_45400998的博客
12-18 1351
微信小程序APIv2签名验证失败问题总结
微信支付v3接口h5支付(非微信内网页支付)代码步骤,可直接用
sinat_25884075的博客
05-29 3134
第一部分 拉起支付 第一步: 按官方文档先: composer require wechatpay/wechatpay 下载wechatpay包 第二步,然后在代码引入: require_once ROOT_PATH.'/vendor/autoload.php'; use WeChatPay\Builder; use WeChatPay\Crypto\Rsa; use WeChatPay\Util\PemUtil; ROOT_PATH 为根路径,可自行处理 /** * or.
在线支付系列【13】微信支付签名验签流程分析
记录知识、锤炼自我
02-01 1216
在上篇文档,我们简单实现了对接微信支付的几个接口。了解到框架自动实现了签名和验签,接下来跟踪下源码,了解下具体流程~每次请求时,都会使用到商户证书、微信平台证书互相签名验签,确保支付安全性。
java微信支付v3 验证签名代码
04-04
以下是Java微信支付V3验证签名代码示例: ```java public class WechatPayVerification { /** * 验证签名 * * @param body 请求报文主体 * @param signature 微信支付返回的签名 * @param timestamp 微信支付返回的时间戳 * @param nonce 微信支付返回的随机字符串 * @param publicKey 商户平台API证书公钥内容 * @return 验证成功返回true,否则返回false */ public static boolean verify(String body, String signature, String timestamp, String nonce, String publicKey) { try { // 拼接待签名字符串 String message = timestamp + "\n" + nonce + "\n" + body + "\n"; // 将公钥字符串转换为公钥对象 PublicKey publicKeyObj = getPublicKey(publicKey); // 验证签名 Signature sign = Signature.getInstance("SHA256withRSA"); sign.initVerify(publicKeyObj); sign.update(message.getBytes()); return sign.verify(Base64.getDecoder().decode(signature)); } catch (Exception e) { e.printStackTrace(); } return false; } /** * 将公钥字符串转换为公钥对象 * * @param publicKeyStr 商户平台API证书公钥内容 * @return 公钥对象 * @throws Exception 异常 */ private static PublicKey getPublicKey(String publicKeyStr) throws Exception { byte[] keyBytes = Base64.getDecoder().decode(publicKeyStr); X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes); KeyFactory keyFactory = KeyFactory.getInstance("RSA"); return keyFactory.generatePublic(keySpec); } } ``` 使用示例: ```java String body = "{\"id\":\"123456\"}"; String signature = "Y5iHYv5RyajCQ2e0gLdK0l1vFqZpDq0NqOuLWmzv7y4t4kzO7EhO5Qjv7xuS9OcX7s1sB2QkIwPzDjKsTGMeTg=="; String timestamp = "1607993739"; String nonce = "nYut1vzqJHKBn3sxq8UGaGv6vzR6U9Q6"; String publicKey = "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"; boolean result = WechatPayVerification.verify(body, signature, timestamp, nonce, publicKey); System.out.println(result); ``` 注意:在实际使用,需要将公钥字符串替换为商户平台API证书的公钥内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值