非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo

的文章,如果不是找到这篇文章我可能还要继续坑几天,代码也基本都是照着他的搬过来的,不过支付宝移动支付文档写的非常糟糕而且没有node的SDK和demo,写起来异常痛苦..好在找到了这篇文章顺便折腾了一下午支付宝的技术人员总算把移动支付整个流程给做完了,所以就顺便记录一下自己遇到的坑,和对移动支付整个流程的梳理。

支付宝给的流程图还是很清晰的,其实基本流程就是

  1. 用户向服务器请求一个付款
  2. 服务器生成一个带签名的订单发送给客户端
  3. 客户端通过这个订单向app sdk请求付款
  4. sdk把用户引入支付宝付款界面进行支付
  5. 支付成功后支付宝向前端返回支付成功结果,并且向服务器发送一个支付通知
  6. 服务器接收通知并且验证是否是支付宝发送的成功结果

app客户端需要做的很简单:

  1. 向自己的服务器请求一个订单,
  2. 接收到订单后,向支付宝sdk发情一个支付请求
  3. 交易结束后返回一个成功或者失败

服务器做的事情稍微多一点(注意:服务端需要存放应用的私钥进行签名,还有支付宝的公钥进行验签):

  1. 接收到客户端请求时候,生成一个带签名订单返回给客户端,中间的步奏有
    1. 把相应的配置数据生成一个数组,再把数组的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将这组支付串进行RSA-SHA1算法,得到的结果再与存在服务端的私钥进行签名 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 有序的字符串+得到的签名+签名方法就是生成的订单,将这组订单返回给客户端 
      //发送订单号
      
    sendAlipay: function(req, res) {
      
        var code = ""
      
        for(var i = 0; i < 4; i++) {
      
            code += Math.floor(Math.random() * 10);
      
        }

        //订单号暂时由时间戳与四位随机码生成
      
        AlipayConfig.out_trade_no = Date.now().toString() + code;
      
        var myParam = getParams(AlipayConfig);
      
        var mySign = getSign(AlipayConfig)
      
        var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
      
        console.log(last)
      
        return res.send(last)
      
    }

  2. 前半段的工作就做完了,接下来如果前端支付成功,支付宝会向我们预留好的回调接口发送一个POST请求,让我们验证用户是否支付成功

    1. 将支付宝发送过来的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将获取的数据进行hash然后根据公钥进行对签名的有效应验证,返回true和false 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 如果验签成功再生成支付宝通知url,来验证是否是支付宝发来的通知(支付宝的验证一大堆,脑壳都痛了),如果有数据则说明确实是支付宝发来的通知,这次交易有效 
      //回调验签
      
    getAlipay: function(req, res) {
      
        console.log(req.body)
      
        var params = req.body
      
        var mysign = veriySign(params);
      
        //验证支付宝签名mysign为true表示签名正确
      
        console.log(mysign)
      
        try {
      
            //验签成功
      
            if(mysign) {
      
                if(params['notify_id']) {
      
                    var partner = AlipayConfig.partner;
      
                    //生成验证支付宝通知的url
      
                    var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
      
                    console.log('url:' + url)
      
                    //验证是否是支付宝发来的通知
      
                    https.get(url, function(text) {
      
                        //有数据表示是由支付宝发来的通知
      
                        if(text) {
      
                            //交易成功
      
                            console.log('success')
      
                        } else {
      
                            //交易失败
      
                            console.log('err')
      
                        }
      
                    })
      
                }
      
            }
      
        } catch(err) {
      
            console.log(err);
      
        }
      
    }

这样整个流程就跑完了,代码原博客都有,这里最多只是有些改成了sails的写法,主要写一下这次遇到的几个坑和值得注意的几个地方

  1. 由于移动支付的文档描述不清楚,私钥其实上上传到账户信息的mapi网管产品密钥里:而不是上传到应用的密钥里

  2. 移动支付只支持RSA(SHA1)

  3. ./是在sails里获取的到根目录下的密钥(有点搞不懂sails的这个路径)

  4. 生成订单时候的有序字符串格式是body="测试" ,有双引号,但是验签生成的有序字符串里不能有双引号

  

NodeJs支付宝移动支付签名及验签的更多相关文章

  1. 支付宝App支付签名和验签

    代码: using CMS.Utility.ReturnResult; using OAuthWebAPI.Package; using Common; using System; using Sys ...

  2. 微信,支付宝,支付异步通知验签,notify_url

    在支付接口开发中 ,当用户支付完成之后,阿里或者微信会向我们服务器发送一个支付结果的通知,里边带有一系列参数:其中特殊的是签名类型,和签名(他们根据这些参数做出来的签名). 我们的得到这些参数之后要去 ...

  3. Delphi支付宝支付【支持SHA1WithRSA(RSA)和SHA256WithRSA(RSA2)签名与验签】

    作者QQ:(648437169) 点击下载➨Delphi支付宝支付             支付宝支付api文档 [Delphi支付宝支付]支持条码支付.扫码支付.交易查询.交易退款.退款查询.交易撤 ...

  4. Delphi微信支付【支持MD5和HMAC-SHA256签名与验签】

    作者QQ:(648437169) 点击下载➨微信支付            微信支付api文档 [Delphi 微信支付]支持付款码支付.二维码支付.订单查询.申请退款.退款查询.撤销订单.关闭订单. ...

  5. .NET RSA解密、签名、验签

    using System; using System.Collections.Generic; using System.Text; using System.IO; using System.Sec ...

  6. PHP SHA1withRSA加密生成签名及验签

    最近公司对接XX第三方支付平台的代付业务,由于对方公司只有JAVA的demo,所以只能根据文档自己整合PHP的签名加密,网上找过几个方法,踩到各种各样的坑,还好最后算是搞定了,话不多说,代码分享出来. ...

  7. 中行P1签名及验签

    分享中国银行快捷.NET P1签名和验签方法代码中ReturnValue为自定义类型请无视 #region 验证签名 /// <summary> /// 验证签名 /// </sum ...

  8. 几个例子理解对称加密与非对称加密、公钥与私钥、签名与验签、数字证书、HTTPS加密方式

    # 原创,转载请留言联系 为什么会出现这么多加密啊,公钥私钥啊,签名啊这些东西呢?说到底还是保证双方通信的安全性与完整性.例如小明发一封表白邮件给小红,他总不希望给别人看见吧.而各种各样的技术就是为了 ...

  9. erlang的RSA签名与验签

    1.RSA介绍 RSA是目前最有影响力的公钥加密算法,该算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对 其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,即公钥,而 ...

随机推荐

  1. 关于DOM的操作以及性能优化问题-重绘重排

     写在前面: 大家都知道DOM的操作很昂贵. 然后贵在什么地方呢? 一.访问DOM元素 二.修改DOM引起的重绘重排 一.访问DOM 像书上的比喻:把DOM和JavaScript(这里指ECMScri ...

  2. JavaScript 对象属性介绍

    本篇主要介绍JS中对象的属性,包括:属性的分类.访问方式.检测属性.遍历属性以及属性特性等内容. 目录 1. 介绍:描述属性的命名方式.查找路径以及分类 2. 属性的访问方式:介绍'.'访问方式.'[ ...

  3. Vue + Webpack + Vue-loader 系列教程(2)相关配置篇

    原文地址:https://lvyongbo.gitbooks.io/vue-loader/content/ 使用预处理器 在 Webpack 中,所有的预处理器需要和一个相应的加载器一同使用.vue- ...

  4. 高效而稳定的企业级.NET Office 组件Spire(.NET组件介绍之二)

    在项目开发中,尤其是企业的业务系统中,对文档的操作是非常多的,有时几乎给人一种错觉的是”这个系统似乎就是专门操作文档的“.毕竟现在的很多办公中大都是在PC端操作文档等软件,在这些庞大而繁重的业务中,单 ...

  5. JavaScript 常量定义

    相信同学们在看见这个标题的时候就一脸懵逼了,什么?JS能常量定义?别逗我好吗?确切的说,JS当中确实没有常量(ES6中好像有了常量定义的关键字),但是深入一下我们可以发现JS很多不为人知的性质,好好利 ...

  6. 漫谈C#编程语言在游戏领域的应用

    0x00 前言 随着微软越来越开放,C#也变得越来越吸引人们的眼球.而在游戏行业中,C#也开始慢慢地获得了关注.这不, 网易绝代双娇手游团队已经全面使用.Net Core支持前后端统一C#开发,跨平台 ...

  7. Entity Framework 教程——Entity Framework中的实体类型

    Entity Framework中的实体类型 : 在之前的章节中我们介绍过从已有的数据库中创建EDM,它包含数据库中每个表所对应的实体.在EF 5.0/6.0中,存在POCO 实体和动态代理实体两种. ...

  8. SpringMVC+Shiro权限管理【转】

    1.权限的简单描述 2.实例表结构及内容及POJO 3.Shiro-pom.xml 4.Shiro-web.xml 5.Shiro-MyShiro-权限认证,登录认证层 6.Shiro-applica ...

  9. CentOS 7 安装出现 /dev/root does not exits 导致无法安装的问题

    本人在官网下的是这个 CentOS-7-x86_64-DVD-1611.iso ,然后用UltraISO 9.6制作的U盘启动盘,不过在安装的时候出现了这个错误, 然后也是搜了好久,试了一下,下面这个 ...

  10. 挑子学习笔记:两步聚类算法(TwoStep Cluster Algorithm)——改进的BIRCH算法

    转载请标明出处:http://www.cnblogs.com/tiaozistudy/p/twostep_cluster_algorithm.html 两步聚类算法是在SPSS Modeler中使用的 ...