Java中的微信支付（1）：API V3版本簽名詳解

1. 前言

---

最近在折騰微信支付，證書仍是比較煩人的，因此有必要分享一些經驗，減小你在開發微信支付時的踩坑。目前微信支付的API已經發展到V3版本，採用了流行的Restful風格。

今天來分享微信支付的難點——簽名，雖然有不少好用的SDK可是若是你想深刻了解微信支付仍是須要了解一下的。

1. API證書

---

爲了保證資金敏感數據的安全性，確保咱們業務中的資金往來交易萬無一失。目前微信支付第三方簽發的權威的CA證書(API證書)中提供的私鑰來進行簽名。經過商戶平臺你能夠設置並獲取API證書。

切記在第一次設置的時候會提示下載，後面就再也不提供下載了，具體參考說明。

設置後找到zip壓縮包解壓，裏面有不少文件，對於JAVA開發來講只須要關注apiclient_cert.p12這個證書文件就好了，它包含了公私鑰，咱們須要把它放在服務端並利用Java解析.p12文件獲取公鑰私鑰。

務必保證證書在服務器端的安全，它涉及到資金安全。

解析API證書

接下來就是證書的解析了，證書的解析有網上不少方法，這裏我使用比較「正規」的方法來解析，利用JDK安全包的java.security.KeyStore來解析。

微信支付API證書使用了PKCS12算法，咱們經過KeyStore來獲取公私鑰對的載體KeyPair以及證書序列號serialNumber，我封裝了工具類：

import org.springframework.core.io.ClassPathResource;

import java.security.KeyPair;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.cert.X509Certificate;

/**
 * KeyPairFactory
 *
 * @author dax
 * @since 13:41
 **/
public class KeyPairFactory {

    private KeyStore store;

    private final Object lock = new Object();

    /**
     * 獲取公私鑰.
     *
     * @param keyPath  the key path
     * @param keyAlias the key alias
     * @param keyPass  password
     * @return the key pair
     */
    public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) {
        ClassPathResource resource = new ClassPathResource(keyPath);
        char[] pem = keyPass.toCharArray();
        try {
            synchronized (lock) {
                if (store == null) {
                    synchronized (lock) {
                        store = KeyStore.getInstance("PKCS12");
                        store.load(resource.getInputStream(), pem);
                    }
                }
            }
            X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias);
            certificate.checkValidity();
            // 證書的序列號 也有用
            String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase();
            // 證書的 公鑰
            PublicKey publicKey = certificate.getPublicKey();
            // 證書的私鑰
            PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem);
    
            return new KeyPair(publicKey, storeKey);

        } catch (Exception e) {
            throw new IllegalStateException("Cannot load keys from store: " + resource, e);
        }
    }
}

眼熟的能夠看出是胖哥Spring Security教程中JWT用的公私鑰提取方法的修改版本，你能夠對比下不一樣之處。

這個方法中有三個參數，這裏必需要說明一下：

• keyPath API證書apiclient_cert.p12的classpath路徑,通常咱們會放在resources路徑下，固然你能夠修改獲取證書輸入流的方式。
• keyAlias 證書的別名，這個微信的文檔是沒有的，胖哥經過加載證書時進行DEBUG獲取到該值固定爲Tenpay Certificate 。
• keyPass 證書密碼，這個默認就是商戶號，在其它配置中也須要使用就是mchid，就是你用超級管理員登陸微信商戶平臺在我的資料中的一串數字。

1. V3簽名

---

微信支付V3版本的簽名是咱們在調用具體的微信支付的API時在HTTP請求頭中攜帶特定的編碼串供微信支付服務器進行驗證請求來源，確保請求是真實可信的。

簽名格式

簽名串的具體格式，一共五行一行也不能少，每一行以換行符n結束。

HTTP請求方法n
URLn
請求時間戳n
請求隨機串n
請求報文主體n

• HTTP請求方法 你調用的微信支付API所要求的請求方法，好比APP支付爲POST。
• URL 好比APP支付文檔中爲https://api.mch.weixin.qq.com/v3/pay/transactions/app，除去域名部分獲得參與簽名的URL。若是請求中有查詢參數，URL末尾應附加有'?'和對應的查詢字符串。這裏爲/v3/pay/transactions/app。
• 請求時間戳 服務器系統時間戳，保證服務器時間正確並利用System.currentTimeMillis() / 1000獲取便可。
• 請求隨機串 找個工具類生成相似593BEC0C930BF1AFEB40B4A08C8FB242的字符串就好了。
• 請求報文主體 若是是GET請求直接爲空字符"" ；當請求方法爲POST或PUT時，請使用真實發送的JSON報文。圖片上傳API，請使用meta對應的JSON報文。

生成簽名

而後咱們使用商戶私鑰對按照上面格式的待簽名串進行SHA256 with RSA簽名，並對簽名結果進行Base64編碼獲得簽名值。對應的核心Java代碼爲：

/**
 * V3  SHA256withRSA 簽名.
 *
 * @param method       請求方法  GET  POST PUT DELETE 等
 * @param canonicalUrl 例如  https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1
 * @param timestamp    當前時間戳   由於要配置到TOKEN 中因此 簽名中的要跟TOKEN 保持一致
 * @param nonceStr     隨機字符串  要和TOKEN中的保持一致
 * @param body         請求體 GET 爲 "" POST 爲JSON
 * @param keyPair      商戶API 證書解析的密鑰對  實際使用的是其中的私鑰
 * @return the string
 */
@SneakyThrows
String sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair) {
    String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body)
            .collect(Collectors.joining("n", "", "n"));
    Signature sign = Signature.getInstance("SHA256withRSA");
    sign.initSign(keyPair.getPrivate());
    sign.update(signatureStr.getBytes(StandardCharsets.UTF_8));
    return Base64Utils.encodeToString(sign.sign());
}

1. 使用簽名

---

簽名生成後會同一些參數組成一個Token放置到對應HTTP請求的Authorization請求頭中，格式爲：

Authorization: WECHATPAY2-SHA256-RSA2048 {Token}

Token由如下五部分組成：

• 發起請求的商戶（包括直連商戶、服務商或渠道商）的商戶號mchid
• [商戶API證書]()序列號serial_no，用於[聲明所使用的證書]()
• 請求隨機串nonce_str
• 時間戳timestamp
• 簽名值signature

  Token生成的核心代碼：

/**
 * 生成Token.
 *
 * @param mchId 商戶號
 * @param nonceStr   隨機字符串 
 * @param timestamp  時間戳
 * @param serialNo   證書序列號
 * @param signature  簽名
 * @return the string
 */
String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) {
    final String TOKEN_PATTERN = "mchid="%s",nonce_str="%s",timestamp="%d",serial_no="%s",signature="%s"";
    // 生成token
    return String.format(TOKEN_PATTERN,
            wechatPayProperties.getMchId(),
            nonceStr, timestamp, serialNo, signature);
}

將生成的Token按照上述格式放入請求頭中便可完成簽名的使用。

1. 總結

---

本文咱們對微信支付V3版本的難點簽名以及簽名的使用進行了完整的分析，同時對API證書的解析也進行了講解，相信可以幫助你在支付開發中解決一些具體的問題。後面有時間我還將對簽名的驗證進行講解，關注：碼農小胖哥 及時獲取系列知識。

關注公衆號：Felordcn 獲取更多資訊

我的博客：https://felord.cn