如何使用Golang来处理支付宝的回调

置顶 已于 2023-06-02 14:22:48 修改
阅读量6.3k 收藏 3
点赞数 2
分类专栏: 开发心得 文章标签: 支付 文档 服务器 golang 支付宝
于 2015-12-21 20:14:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyzhaopeng/article/details/50374191
版权

Golang处理支付宝的回调

支付宝的回调还是有蛮多坑的,当时我也搞了几天才算彻底的把这个问题搞定。
现在记录一下,以备忘。

1,支付宝的处理流程
支付宝的处理流程
2,上述图中第五步,异步发送支付通知“商户服务端”这里就是我们后台服务器需要处理的流程。
3,处理流程其实很简单,但是需要注意的是,支付宝的文档中写的是“在参数列表“里带入这些参数。

以下这段示例代码来自于支付宝的官方文档:

http://notify.java.jpxx.org/index.jsp?discount=0.00&payment_type=1&subject=测试&trade_no=2013082244524842&buyer_email=dlwdgl@gmail.com&gmt_create=2013-08-22 14:45:23&notify_type=trade_status_sync&quantity=1&out_trade_no=082215222612710&seller_id=2088501624816263&notify_time=2013-08-22 14:45:24&body=测试测试&trade_status=TRADE_SUCCESS&is_total_fee_adjust=N&total_fee=1.00&gmt_payment=2013-08-22 14:45:24&seller_email=xxx@alipay.com&price=1.00&buyer_id=2088602315385429&notify_id=64ce1b6ab92d00ede0ee56ade98fdf2f4c&use_coupon=N&sign_type=RSA&sign=1glihU9DPWee+UJ82u3+mw3Bdnr9u01at0M/xJnPsGuHh+JA5bk3zbWaoWhU6GmLab3dIM4JNdktTcEUI9/FBGhgfLO39BKX/eBCFQ3bXAmIZn4l26fiwoO613BptT44GTEtnPiQ6+tnLsGlVSrFZaLB9FVhrGfipH2SWJcnwYs=

但是这里有个巨大的错误,因为他的参数实际上并不是在HTTP Request的参数部分,而是在HTTP Body部分,这里要特别注意。

4,如何处理支付宝的签名,这个签名是用来验证请求的有效性,官方文档里有指明此签名用RSA算法进行签名。但是这个签名是怎么来的,实际上还经过了好几个步骤:

 1. 对参数[key,value]按照key进行排序
 2. 按照key1=value1&key2=value2...的顺序进行用&和=进行连接,但是不包含'sign'和‘sign_type’
 3. 然后用SHA1进行计算摘要
 4. 进行标准base64的编码
 5. URL Safe Encoding

以上黑色部分,也就是3,4这里是特别需要注意的。
所以验证这个签名的有效性我们就可以这样做,我把步骤写在下面:

a. 我们首先从HTTP body中读入参数字符串。

	body, err := ioutil.ReadAll(r.Body)
	if err != nil {
		return
	}
	//此时body就是支付宝给我们的参数字符串

 b. 然后使用url包的ParseQuery取得参数

	values_m, _err := url.ParseQuery(string(paramerStr))//values_m就是我们的参数了
	if _err != nil {
		fmt.Println("error parse parameter, reason:", _err)
		return
	}

c.把参数按照key的字母顺序升序排列,然后使用=连接key和value,使用&连接其余key,value,不包含'sign'和'sign_type',假设得到的字串为**preSignString**.

d.对上面preSignString进行SHA1哈希:

	t := sha1.New()
	io.WriteString(t, string(preSignString))
	digest := t.Sum(nil)

e.从支付宝给我们的参数列表中parse出来签名

	sign := values_m["sign"][0]

f.对支付宝的签名进行Std base64 decode,URL decode已经不需要了,url.ParseQuery已经进行过了urldecode.

	data, _ := base64.StdEncoding.DecodeString(string(sign))

g.调用rsa包的VerifyPKCS1v15进行签名验证。传入参数为我们计算出来的preSignString的哈希digest,哈希算法crypto.SHA1,以及支付宝的公钥,还有f步骤的data. 这个data是先进行过url decode然后又进行过std base64decode过的数据。

	err = rsa.VerifyPKCS1v15(rsaPub, crypto.SHA1, digest, data)
	if err != nil {
		fmt.Println("Verify sig error, reason: ", err)
		return false, err
	}

完整的程序如下,经过调试可以正常验证签名。当然签名验证通过之后的步骤我就不多说了,比如记录自己的数据库,比如通知客户端刷新取得状态等等,大家可以自行补充。

package main

import (
	"crypto"
	"crypto/rsa"
	"crypto/sha1"
	"crypto/x509"
	"encoding/base64"
	"encoding/hex"
	"encoding/pem"
	"fmt"
	"io"
	"net/url"
	"sort"
)

const (
	//支付宝公钥
	ALIPAY_PUBLIC_KEY = `-----BEGIN PUBLIC KEY-----  
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnxj/9qwVfgoUh/y2W89L6BkRA
FljhNhgPdyPuBV64bfQNN1PjbCzkIM6qRdKBoLPXmKKMiFYnkd6rAoprih3/PrQE
B/VsW8OoM8fxn67UDYuyBTqA23MML9q1+ilIZwBC2AQ2UBVOrFXfFl75p6/B5Ksi
NG9zpgmLCUYuLkxpLQIDAQAB 
-----END PUBLIC KEY-----
`
)

func main() {
	//这是我从支付宝callback的http body部分读取出来的一段参数列表。
	paramerStr := `discount=0.00&payment_type=1&subject=%E7%BC%B4%E7%BA%B3%E4%BF%9D%E8%AF%81%E9%87%91&trade_no=2015122121001004460085270336&buyer_email=xxaqch%40163.com&gmt_create=2015-12-21+13%3A13%3A28&notify_type=trade_status_sync&quantity=1&out_trade_no=a378c684be7a4f99be1bf3b56e6d38fd&seller_id=2088121529348920&notify_time=2015-12-21+13%3A17%3A45&body=%E7%BC%B4%E7%BA%B3%E4%BF%9D%E8%AF%81%E9%87%91&trade_status=TRADE_SUCCESS&is_total_fee_adjust=N&total_fee=0.01&gmt_payment=2015-12-21+13%3A13%3A28&seller_email=172886370%40qq.com&price=0.01&buyer_id=2088002578894463&notify_id=5104b719303162e2b79d577aeaa5494jjs&use_coupon=N&sign_type=RSA&sign=YeshUpQO1GsR4KxQtAlPzdlqKUMlTfEunQmwmNI%2BMJ1T2qzd9WuA6bkoHYMM8BpHxtp5mnFM3rXlfgETVsQcNIiqwCCn1401J%2FubOkLi2O%2Fmta2KLxUcmssQ0OnkFIMjjNQuU9N3eIC1Z6SzDkocK092w%2Ff3un4bxkIfILgdRr0%3D`

	//调用url.ParseQuery来获取到参数列表,url.ParseQuery还会自动做url safe decode
	values_m, _err := url.ParseQuery(string(paramerStr))
	if _err != nil {
		fmt.Println("error parse parameter, reason:", _err)
		return
	}
	var m map[string]interface{}
	m = make(map[string]interface{}, 0)

	for k, v := range values_m {
		if k == "sign" || k == "sign_type" { //不要'sign'和'sign_type'
			continue
		}
		m[k] = v[0]
	}

	sign := values_m["sign"][0]
	fmt.Println("Parsed Sign:", []byte(sign))

	//获取要进行计算哈希的sign string
	strPreSign, _err := genAlipaySignString(m)
	if _err != nil {
		fmt.Println("error get sign string, reason:", _err)
		return
	}

	fmt.Println("Presign string:", strPreSign)

	//进行rsa verify
	pass, _err := RSAVerify([]byte(strPreSign), []byte(sign))

	if pass {
		fmt.Println("verify sig pass.")
	} else {
		fmt.Println("verify sig not pass. error:", _err)
	}
}
/***************************************************************
*函数目的:获得从参数列表拼接而成的待签名字符串
*mapBody:是我们从HTTP request body parse出来的参数的一个map
*返回值:sign是拼接好排序后的待签名字串。
***************************************************************/
func genAlipaySignString(mapBody map[string]interface{}) (sign string, err error) {
	sorted_keys := make([]string, 0)
	for k, _ := range mapBody {
		sorted_keys = append(sorted_keys, k)
	}
	sort.Strings(sorted_keys)
	var signStrings string

	index := 0
	for _, k := range sorted_keys {
		fmt.Println("k=", k, "v =", mapBody[k])
		value := fmt.Sprintf("%v", mapBody[k])
		if value != "" {
			signStrings = signStrings + k + "=" + value
		}
		//最后一项后面不要&
		if index < len(sorted_keys)-1 {
			signStrings = signStrings + "&"
		}
		index++
	}

	return signStrings, nil
}

/***************************************************************
*RSA签名验证
*src:待验证的字串,sign:支付宝返回的签名
*pass:返回true表示验证通过
*err :当pass返回false时,err是出错的原因
****************************************************************/
func RSAVerify(src []byte, sign []byte) (pass bool, err error) {
	//步骤1,加载RSA的公钥
	block, _ := pem.Decode([]byte(ALIPAY_PUBLIC_KEY))
	pub, err := x509.ParsePKIXPublicKey(block.Bytes)
	if err != nil {
		fmt.Printf("Failed to parse RSA public key: %s\n", err)
		return
	}
	rsaPub, _ := pub.(*rsa.PublicKey)
	
	//步骤2,计算代签名字串的SHA1哈希
	t := sha1.New()
	io.WriteString(t, string(src))
	digest := t.Sum(nil)
	
	//步骤3,base64 decode,必须步骤,支付宝对返回的签名做过base64 encode必须要反过来decode才能通过验证
	data, _ := base64.StdEncoding.DecodeString(string(sign))

	hexSig := hex.EncodeToString(data)
	fmt.Printf("base decoder: %v, %v\n", string(sign), hexSig)
	
	//步骤4,调用rsa包的VerifyPKCS1v15验证签名有效性
	err = rsa.VerifyPKCS1v15(rsaPub, crypto.SHA1, digest, data)
	if err != nil {
		fmt.Println("Verify sig error, reason: ", err)
		return false, err
	}

	return true, nil
}
cdsnpeter
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go接入支付宝异步回调通知
Freud666的博客
02-05 558
【代码】go接入支付宝异步回调通知。
推荐使用Golang支付宝SDK - 轻松集成支付宝支付功能
最新发布
gitblog_00053的博客
05-22 416
推荐使用Golang支付宝SDK - 轻松集成支付宝支付功能 项目地址:https://gitcode.com/ascoders/alipay 1、项目介绍 这是一款专为Golang开发者打造的支付宝SDK,旨在提供最优质的支付宝接口服务。项目由热情的开发者社区维护,不断优化更新,确保与最新的支付宝API无缝对接。无论是新手还是经验丰富的老手,都能快速上手,轻松实现支付宝支付功能。 2、项目技...
alipay, 支付宝集成接口的 golang 实现.zip
09-18
alipay, 支付宝集成接口的 golang 实现
模拟支付宝,自定义多次回调信息
weixin_40967614的博客
12-23 467
多次回调
golang对接支付宝支付
跟派大星学编程
07-20 5257
本文采用沙箱环境 1. 开启沙箱 文档:https://docs.open.alipay.com/200/105311/ 沙箱地址:https://openhome.alipay.com/platform/appDaily.htm 2. 生成秘钥 本文中的签名方法默认为 RSA2,采用支付宝提供的 RSA签名&验签工具 生成秘钥时,秘钥的格式必须为 PKCS1,秘钥长度推荐 2048。所...
Golang Gin接入支付宝H5网页支付
supramolecular的博客
02-28 1246
安装依赖 go get github.com/smartwalle/alipay/v3 发起账单接口 func FinishAliPayment(c *gin.Context) { appG := app.Gin{C: c} client, _ := alipay.New(setting.AppSetting.AliAppId, setting.AppSetting.AliPrivateKey, false) client.LoadAppPublicCertFromFile("conf/ap
支付宝支付功能——基于go语言实现
Jzin的博客
02-02 4876
支付宝支付功能,基于go语言实现
Go语言接入支付宝开放平台
zxm的博客
05-22 2926
首先登录支付宝开放平台 https://open.alipay.com/platform/home.htm 身份验证什么的按照提示来就行 选择 开发中心-网页&移动应用,选择应用类型 ,写名字 图标等等 按提示来,然后就是等待支付宝审核 可先使用沙箱进行测试 开发中心-研发服务 1.先生成应用公钥和私钥 应用调用接口时的加签格式同时支持公钥和公钥证书,开发者可根据自己的实际情况选择使用,如...
支付宝接口支付完成不跳转return_url也不异步返回notify_url的问题
weixin_42760466的博客
03-02 1万+
return_url和notify_url 今天因为一个支付demo出问题弄了两个多小时,使用支付宝支付接口支付,接受到了表单,并且完成了支付。然而作为商家的服务器端并不知道用户是否进行了付款,这时候就会用到return_url和notify_url这两个参数,前者是支付成功跳转的页面,后者是支付状态发生改变(如:用户付款完成)请求的url路径。 当时demo的代码如...
Golang实现支付宝沙箱支付
luoxuebinfei的博客
05-16 1674
首先我使用的是 gin 作为我的后端框架,我们先设定好几个接口。 func main() { r := gin.Default() r.GET("/pay", tools.WebPageAlipay) r.GET("/return", tools.AliPayNotify) r.Run(":8100") } github.com/smartwalle/alipay 这个第三方库来作为定义了很多支付宝接口,我们直接使用这个库来继续我们的开发。 首先初始化 var ( appI
支付宝支付宝AliPay SDK for Go,集成简单,功能完善,持续更新,支持公钥证书和普通公钥进行签名和验签
02-03
适用于Golang的AliPay SDK 鸣谢 安装 启用Go模块 go get github.com/smartwalle/alipay/v3 import github.com/smartwalle/alipay/v3 未启用Go模块 go get github.com/smartwalle/alipay import github.com/smartwalle/alipay 帮助 在集成的过程中有遇到问题,欢迎加QQ群564704807讨论,或者使用微信扫描下方的二维码。 其他支付 微信支付 贝宝 关于各分支(版本) v1-最老的版本,实现了完整的支付功能,目前已停止更新维护; v2-在v1的基础上进行了一些优化和规范调整,目前已停止更新维护; v3-支持公钥证书和普通公钥进行签名验证,详情可以参考和 ,为目前主要维护分支; master-和主要维护分支同步; 推荐使用v3版本 v3版本如何初始化 下面用到的privateKey需要特别注意一下,如果是通过“支付宝开发平台开发助手”创建的CSR文件,在CSR文件所在的目录下会生成相应的私钥文件,我们需要使用该私钥进行签名
Go-Golang实现的聚合支付含微信支付支付宝
08-13
特点 1、代码简单、灵活可靠。 2、可扩展性强:参数传递采用map[string]interface{},不需要定义复杂的结构,满足多变的参数需求。 3、支持服务商模式和非服务商模式。
三步实现支付宝支付【go语言 支付宝沙箱】
xiao_xiao_w的博客
03-09 991
支付宝沙箱支付支付宝提供的一个测试环境,用于开发者在不影响真实交易的情况下进行支付接口的开发和调试。在沙箱环境中,开发者可以模拟真实的支付流程,包括支付、退款、查询等操作,以便更好地调试和验证自己的支付接口是否正确。使用支付宝沙箱支付可以帮助开发者提高支付接口的稳定性和安全性,避免在开发过程中对真实交易造成影响。同时,沙箱环境还提供了丰富的测试工具和文档,方便开发者快速上手和进行测试。在控制台的沙箱操作时可以查看自己的沙箱账号用于模拟收付款。将私钥 和 KAppId改成自己的。
go 开发微信支付回调接口【支付结果通知】
TauCrus的博客
05-15 5000
上文介绍了如何用go开发微信H5支付下单的接口,支付成功后,微信会请求notify_url指向的地址,通知支付结果。 回调地址链接是通过【统一下单API】中提交的参数notify_url设置, 如果链接无法访问,商户将无法接收到微信通知。 通知url必须为直接可访问的url,不能携带参数。 示例:notify_url:“https://pay.weixin.qq.com/wxpay/pay.act...
微信支付(一):小程序支付(Go+Gin+内网穿透+支付回调处理
新鲜雾霾的博客
07-06 1843
微信小程序支付
[go]沙盒环境下调用支付宝扫码支付
CRAJA的blog
06-20 1255
参考于这篇博客,在此基础上进行了封装支付宝开放平台,使用支付宝扫码并成为开发者。然后进入沙盒进行测试下载沙盒版支付宝使用沙盒账号中的买家信息进行登陆,之后使用此账号登陆的支付宝来进行扫码配置接口加签方式下载并安装密钥生成工具沙盒下除了组织/公司必须和商户账号一样,其他可以随便填,之后得到这几个证书然后进入开发者平台上传csr证书来配置接口加签方式,(使用系统默认的密钥我总是没法测试成功)之后下载这些证书用于程序中校验使用 模拟测试注意异步响应地址和回调地址必须是公网可以访问到的。 实际测试 项目跑起来之
[golang gin框架] 32.Gin 商城项目- 支付宝支付操作相关功能讲解
zhoupenghui168的博客
05-13 1166
支付宝支付操作相关功能讲解
golang 获取支付宝小程序用户手机号、登录授权、AES解密
weixin_37743259的博客
07-26 1958
目前支付宝官方的api没有关于golang语言的sdk,最近在开发支付宝小程序登录,发现支付宝对于敏感信息会进行AES加密,例如获取用户手机号,会先由前端获取手机号密文、传给服务端,进行解密,从而获取手机号,目前百度和google到的示例都不好用,内容同质化明显。下面是解密示例,希望能解决大家的苦恼。.........
GoPay - Golang版本 微信支付支付宝、PayPal SDK
热门推荐
iGoogle.ink
01-16 2万+
GoPay 开源地址:GoPay(期待您鼓励的小星星哟) 微信支付支付宝支付等的Go版本SDK(持续更新维护中) 微信 统一下单 JSAPI - JSAPI支付(或小程序支付) NATIVE - Native支付 APP - app支付 MWEB - H5支付 查询订单(开发中) 关闭订单(开发中) 申请退款(开发中) 查询退款(开发中) 下载对账单(开发中) 下载资金账单(开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值