支付宝 v3 验签如何实现

2023-12-28 16:40 由盐焗代码虾发表于 #后端开发

上次给大家介绍了支付宝 v3 自签名如何实现，这次顺便再把验签也写一下。

为什么要验签

说起为什么要验签，如果要详细一点解释的话，可以写很多很多......

我们就简单一点来解释：验签可以证明接收到的信息是支付宝给我的，不是被人中途拦截篡改数据之后再发给我的。

支付宝的通知分为「同步通知」和「异步通知」：

「同步通知」就是我们请求支付宝之后，支付宝返回的数据。
「异步通知」是到达某些条件之后，支付宝主动发的；更详细内容可以参考之前我写的 [手把手｜支付宝异步通知如何使用]。

对于这两种通知我们都需要进行验签处理，才能保证数据的准确性！（⚠️ 很重要！！）

其实支付宝给的 SDK 里面也封装了验签的方法，并且对同步通知都经过了验签的处理，同步验签不过的话，接口会直接抛出异常 [sign check fail: check Sign and Data Fail]。

另外 v3 SDK 里面提供的验签方法名跟 v2 版本是一样的，大家不想麻烦的话可以直接查看 [SDK如何实现验签]。

（大家凑合看，v3 版本好像还没有完整的验签示例代码，也可能是我没找到 😢）

虽然给了这么多简单的方法，但是我就是要自！己！写！一！遍！╭(╯^╰)╮

如何验签

验签的流程比加签要简单一点，下面用支付宝同步通知的数据做验签例子

步骤一、接收支付宝返回的信息

首先就是要接收到支付宝返回的信息，因为是同步验签的数据，直接拿之前自签名的代码改一下

验签我们所需要的数据有：

aliapy-signature：支付宝生成的签名内容。
alipay-timestamp：支付宝应答时间戳。
alipay-nonce：支付宝应答随机串。
httpResponseBody：响应报文内容，自签名的 resData 数据。

接收代码

//获取响应的请求头head
Header[] responseHeader = response.getAllHeaders();
//待验签数据head:aliapy-signature、alipay-timestamp、alipay-nonce
String alipaysignature = response.getFirstHeader("alipay-signature").getValue();
String alipaytimestamp = response.getFirstHeader("alipay-timestamp").getValue();
String alipaynonce = response.getFirstHeader("alipay-nonce").getValue();

获取到的响应值

httpResponseBody：{"out_trade_no":"20181128763521373251698","qr_code":"https://qr.alipay.com/bax04870evi3w2dlaeai2502"}
aliapy-signature：M/6yx2OajiQD0mM9Tk9ShsduFERtmj+xI0BN8QiZk8BMUCvMQCne1n/VIbMZ738k4No8nsE1DC0saPe2NqtmgxC3B+TmWgrhJ+4JOVEc7K4/LcIDWN2PaPCw5g5+oUQRIGCbo0+f9yqSew4NwETV2RiVIw91q+kJ4OeIpauSnGQAuwOxqciDM52k7gUhij8G+evhK7xn6TNhiQgRk0RjkyhEEp/00lYb5xI2d9Oj5KgsDC9KTRo9SO0SJaH0SbfNHU40XUkkomuj6jiOEeccfB6Fofzq5jfL3u24Ev9SxTDf2kYZzffShLrYhlrI8947VqC3h8/F6O8y4K/PQl3LCw==
alipay-timestamp：1703576825544
alipay-nonce：73b3422127c9996ad405e77091eef6f4

包含之前自签名的完整代码（仅供参考）

public class V3HttpPostTest {

    public static void main(String args[]) throws Exception {
        // 发送请求的url
        String url = "https://openapi.alipay.com/v3/alipay/trade/precreate";

        // 发送请求的内容
        String content = "{\"out_trade_no\":\"20181128763521373251698\",\"total_amount\":\"1\",\"subject\":\"123\",\"body\":\"body\"}";
        String chearset = "utf-8";
        // 创建请求对象:post或者get
        HttpPost httpPost = new HttpPost(url);
        // httpClient实例化
        CloseableHttpClient httpClient = HttpClients.createDefault();
        // 设置类型
        // "application/x-www-form-urlencoded"，"application/json"、multipart/form-data、text/xml
        httpPost.setHeader("Content-Type", "application/json");
        // 调用方的requestId，用于定位一次请求，需要每次请求保持唯一。
        httpPost.setHeader("alipay-request-id", "32432432432423421");
        httpPost.setHeader("authorization",
                "ALIPAY-SHA256withRSA app_id=2021111111111122,timestamp=1702452177941,nonce=3246658768654544,sign=WDF6pS2qK/kEZnsJDMrhNmd/z82ClZ+VMohYxIUs3MZ2j0m+4reQtSBGa6mZyA5ffbIPPvZTRO+1DLEuuCvZRMQGK3okYSA/ASP7GEqfCDeKmkqzKV2kWrmftNfO+EiIiCnsiyJG4SQ9G7s0OtmCT6wVkphW9wgk7mfUoF5a+Wo3kzvEur3U+7ZfSgLa4HXQG2xE+z7BjmHG8j1qVoVa/3TR1lVBAqOwkodZ9cSPKceK2RxaPkk8gsFbofbuARl5xBqDwkS2caTQu27+DLXT/QJOHRHRw5VtH9v8B7nT+nrijFjktm6hD7aIHuPon6TtEgnbtWltRizEZldh+Fo1Eg==");
        // 支付宝根证书序列号，使用证书模式时，需要传递该值
        // httpPost.setHeader("alipay-root-cert-sn", "");

        // 组织数据
        StringEntity se = null;
        try {
            se = new StringEntity(content);
            // 设置编码格式
            se.setContentEncoding(chearset);
            // 设置数据类型
            se.setContentType("application/json");
            // post请求，将请求体填充进httpPost
            httpPost.setEntity(se);
            // 通过执行httpPost获取实例
            HttpResponse response = httpClient.execute(httpPost);
            HttpEntity entity = response.getEntity();
            String resData = EntityUtils.toString(entity);
            System.out.println("httpResponseBody：" + resData);

            //获取响应的请求头head
            Header[] responseHeader = response.getAllHeaders();
            //待验签数据head:aliapy-signature、alipay-timestamp、alipay-nonce
            String alipaysignature = response.getFirstHeader("alipay-signature").getValue();
            String alipaytimestamp = response.getFirstHeader("alipay-timestamp").getValue();
            String alipaynonce = response.getFirstHeader("alipay-nonce").getValue();    
            System.out.println("aliapy-signature：" + alipaysignature);
            System.out.println("alipay-timestamp：" + alipaytimestamp);
            System.out.println("alipay-nonce：" + alipaynonce);
            
            // 关闭httpClient资源
            httpClient.close();
        } catch (Exception e) {
            e.printStackTrace();
        }

    }
}

步骤二、拼接待验签内容

接收到响应数据之后，我们需要按照

${alipay-timestamp}\n
${alipay-nonce}\n
${httpResponseBody}\n

规则，将数据组装起来。

content 组装示例

【注意：\n 不要丢！】

String content = alipaytimestamp + "\n" + alipaynonce + "\n" + httpResponseBody + "\n";

返回值

1703576825544
73b3422127c9996ad405e77091eef6f4
{"out_trade_no":"20181128763521373251698","qr_code":"https://qr.alipay.com/bax08770vkyzjc0is6ep25ed"}

步骤三、进行签名比对

组装完待验签内容之后，我们就可以将数据进行验签了，其中用到的参数有：

content：上一步获取到的内容。
alipaysignature：第一步获取到的 alipaysignature。
publicKey：为支付宝公钥，在支付宝平台上传应用公钥后获取，参考 [如何获取支付宝公钥]。
charset：编码格式，代码中用的是 UTF-8。

验签代码

private static boolean doVerify(String content, String alipaysignature, String publicKey, String charset) throws Exception {
        try {
            byte[] encodedKey = publicKey.getBytes();
            encodedKey = Base64.getDecoder().decode(encodedKey);
            PublicKey pubKey = KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(encodedKey));

            java.security.Signature signature = java.security.Signature.getInstance("SHA256withRSA");
            signature.initVerify(pubKey);
            signature.update(content.getBytes(charset));
            

            boolean signVerified = signature.verify(Base64.getDecoder().decode(alipaysignature.getBytes()))
            System.out.println("signVerified:" + signVerified);
            return falg;

        } catch (Exception e) {
            String errorMessage = "验签失败，请检查公钥格式是否正确。content=" + content + " publicKey=" + publicKey + " reason="
                    + e.getMessage();
            throw new Exception(errorMessage);
        }

    }

返回值

signVerified:true

只有返回 true 才能说明验签是通过的。

写在最后

v3 验签写完之后，可以看到其实跟 v2 的验签方法没有什么区别，最大的不同点在于待验签内容，大家都可以试试看，还是挺简单的。

C++ Qt开发：SqlTableModel映射组件应用

Qt 是一个跨平台C++图形界面开发库，利用Qt可以快速开发跨平台窗体应用程序，在Qt中我们可以通过拖拽的方式将不同组件放到指定的位置，实现图形化开发极大的方便了开发效率，本章将重点介绍`SqlTableModule`组件的常用方法及灵活运用。在多数情况下我们需要使用SQL的方法来维护数据库，但此方... ...阅读全文

python中的泛型使用TypeVar

1.引入为什么需要TypeVar PEP484的作者希望借助typing模块引入类型提示，不改动语言的其它部分。通过精巧的元编程技术，让类支持[]运算不成问题。但是方括号内的T变量必须在某处定义，否则要大范围改动python解释器才能让泛型支持特殊的[]表示法。鉴于此，我们增加了typing.Ty ...阅读全文

Python random模块（获取随机数）常用方法和使用例子

random.random random.random()用于生成一个0到1的随机符点数: 0 <= n < 1.0 random.uniform random.uniform(a, b)，用于生成一个指定范围内的随机符点数，两个参数其中一个是上限，一个是下限。如果a > b，则生成的随机数n: ...阅读全文

python生成器generator的用法

通过列表生成式，我们可以直接创建一个列表。但是，受到内存限制，列表容量肯定是有限的。而且，创建一个包含100万个元素的列表，不仅占用很大的存储空间，如果我们仅仅需要访问前面几个元素，那后面绝大多数元素占用的空间都白白浪费了。所以，如果列表元素可以按照某种算法推算出来，那我们是否可以在循环的过程中不 ...阅读全文

Python中__init_subclass__特殊方法

__init_subclass__ 是 Python 3.6 引入的一个特殊方法，用于在子类被定义时执行一些操作。这个方法允许你在父类中定义一个类方法，当子类继承父类时会自动调用这个方法，你可以在其中进行一些初始化工作。以下是关于 __init_subclass__ 方法的一些重要点：目的： ...阅读全文

[手机端RPA]监听闲鱼消息，实现秒回客户，不怕错过任何消息

你好，我是盆子，00年的国企程序员。目前正在探索各种副业，分享互联网一些有意思的东西，微信 pzistart1。文末有总结。前言最近一个月在弄闲鱼无货源的项目，遵循着一机一卡一号的原则，手机从 1 台也变成了 3 台。频繁的切换手机看闲鱼 app，看有没有客户发来咨询，是一件十分很繁琐的事情 ...阅读全文

遇到跨端开发或多项目开发时，遇到的一些问题探讨，后端开发语言如何选择？

最近有同学问我，做后端开发项目时用php，java，c#，go，pathon...哪个好，从最近阿里云、美团服务器崩溃来看，我想给你最直接的回答是，没有完美的，只有适合自己的。 ...阅读全文

C++内存分配详解：栈、堆、静态存储区解析与实例演示

概述：C++内存分配有栈、堆和静态存储区三种方式。栈自动管理，适用于局部变量；堆手动管理，使用new和delete；静态存储区适用于全局变量，具有整个程序生命周期。通过清晰的示例源代码，详细解释了它们的分配方法和使用步骤。 C++的内存分配涉及栈、堆和静态存储区，每种分配方式有其独特的特点。以下是对 ...阅读全文

java进行数据库操作的并发控制的2种方法

本文分享自华为云社区《java进行数据库操作的并发控制》，作者：张俭。在现代应用编码中，从数据库里面find出来，进行一些业务逻辑操作，最后再save回去。即： Person person = personRepo.findById(id); person.setAge(18); personRe ...阅读全文

【scikit-learn基础】--『监督学习』之 LASSO回归

LASSO（Least Absolute Shrinkage and Selection Operator）回归模型一般都是用英文缩写表示，硬要翻译的话，可翻译为最小绝对收缩和选择算子。它是一种线性回归模型的扩展，其主要目标是解决高维数据中的特征选择和正则化问题。 1. 概述在LASSO中，通 ...阅读全文