非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo

的文章,如果不是找到这篇文章我可能还要继续坑几天,代码也基本都是照着他的搬过来的,不过支付宝移动支付文档写的非常糟糕而且没有node的SDK和demo,写起来异常痛苦..好在找到了这篇文章顺便折腾了一下午支付宝的技术人员总算把移动支付整个流程给做完了,所以就顺便记录一下自己遇到的坑,和对移动支付整个流程的梳理。

支付宝给的流程图还是很清晰的,其实基本流程就是

  1. 用户向服务器请求一个付款
  2. 服务器生成一个带签名的订单发送给客户端
  3. 客户端通过这个订单向app sdk请求付款
  4. sdk把用户引入支付宝付款界面进行支付
  5. 支付成功后支付宝向前端返回支付成功结果,并且向服务器发送一个支付通知
  6. 服务器接收通知并且验证是否是支付宝发送的成功结果

app客户端需要做的很简单:

  1. 向自己的服务器请求一个订单,
  2. 接收到订单后,向支付宝sdk发情一个支付请求
  3. 交易结束后返回一个成功或者失败

服务器做的事情稍微多一点(注意:服务端需要存放应用的私钥进行签名,还有支付宝的公钥进行验签):

  1. 接收到客户端请求时候,生成一个带签名订单返回给客户端,中间的步奏有
    1. 把相应的配置数据生成一个数组,再把数组的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将这组支付串进行RSA-SHA1算法,得到的结果再与存在服务端的私钥进行签名 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 有序的字符串+得到的签名+签名方法就是生成的订单,将这组订单返回给客户端 
      //发送订单号
      
    sendAlipay: function(req, res) {
      
        var code = ""
      
        for(var i = 0; i < 4; i++) {
      
            code += Math.floor(Math.random() * 10);
      
        }

        //订单号暂时由时间戳与四位随机码生成
      
        AlipayConfig.out_trade_no = Date.now().toString() + code;
      
        var myParam = getParams(AlipayConfig);
      
        var mySign = getSign(AlipayConfig)
      
        var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
      
        console.log(last)
      
        return res.send(last)
      
    }

  2. 前半段的工作就做完了,接下来如果前端支付成功,支付宝会向我们预留好的回调接口发送一个POST请求,让我们验证用户是否支付成功

    1. 将支付宝发送过来的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将获取的数据进行hash然后根据公钥进行对签名的有效应验证,返回true和false 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 如果验签成功再生成支付宝通知url,来验证是否是支付宝发来的通知(支付宝的验证一大堆,脑壳都痛了),如果有数据则说明确实是支付宝发来的通知,这次交易有效 
      //回调验签
      
    getAlipay: function(req, res) {
      
        console.log(req.body)
      
        var params = req.body
      
        var mysign = veriySign(params);
      
        //验证支付宝签名mysign为true表示签名正确
      
        console.log(mysign)
      
        try {
      
            //验签成功
      
            if(mysign) {
      
                if(params['notify_id']) {
      
                    var partner = AlipayConfig.partner;
      
                    //生成验证支付宝通知的url
      
                    var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
      
                    console.log('url:' + url)
      
                    //验证是否是支付宝发来的通知
      
                    https.get(url, function(text) {
      
                        //有数据表示是由支付宝发来的通知
      
                        if(text) {
      
                            //交易成功
      
                            console.log('success')
      
                        } else {
      
                            //交易失败
      
                            console.log('err')
      
                        }
      
                    })
      
                }
      
            }
      
        } catch(err) {
      
            console.log(err);
      
        }
      
    }

这样整个流程就跑完了,代码原博客都有,这里最多只是有些改成了sails的写法,主要写一下这次遇到的几个坑和值得注意的几个地方

  1. 由于移动支付的文档描述不清楚,私钥其实上上传到账户信息的mapi网管产品密钥里:而不是上传到应用的密钥里

  2. 移动支付只支持RSA(SHA1)

  3. ./是在sails里获取的到根目录下的密钥(有点搞不懂sails的这个路径)

  4. 生成订单时候的有序字符串格式是body="测试" ,有双引号,但是验签生成的有序字符串里不能有双引号

  

NodeJs支付宝移动支付签名及验签的更多相关文章

  1. 支付宝App支付签名和验签

    代码: using CMS.Utility.ReturnResult; using OAuthWebAPI.Package; using Common; using System; using Sys ...

  2. 微信,支付宝,支付异步通知验签,notify_url

    在支付接口开发中 ,当用户支付完成之后,阿里或者微信会向我们服务器发送一个支付结果的通知,里边带有一系列参数:其中特殊的是签名类型,和签名(他们根据这些参数做出来的签名). 我们的得到这些参数之后要去 ...

  3. Delphi支付宝支付【支持SHA1WithRSA(RSA)和SHA256WithRSA(RSA2)签名与验签】

    作者QQ:(648437169) 点击下载➨Delphi支付宝支付             支付宝支付api文档 [Delphi支付宝支付]支持条码支付.扫码支付.交易查询.交易退款.退款查询.交易撤 ...

  4. Delphi微信支付【支持MD5和HMAC-SHA256签名与验签】

    作者QQ:(648437169) 点击下载➨微信支付            微信支付api文档 [Delphi 微信支付]支持付款码支付.二维码支付.订单查询.申请退款.退款查询.撤销订单.关闭订单. ...

  5. .NET RSA解密、签名、验签

    using System; using System.Collections.Generic; using System.Text; using System.IO; using System.Sec ...

  6. PHP SHA1withRSA加密生成签名及验签

    最近公司对接XX第三方支付平台的代付业务,由于对方公司只有JAVA的demo,所以只能根据文档自己整合PHP的签名加密,网上找过几个方法,踩到各种各样的坑,还好最后算是搞定了,话不多说,代码分享出来. ...

  7. 中行P1签名及验签

    分享中国银行快捷.NET P1签名和验签方法代码中ReturnValue为自定义类型请无视 #region 验证签名 /// <summary> /// 验证签名 /// </sum ...

  8. 几个例子理解对称加密与非对称加密、公钥与私钥、签名与验签、数字证书、HTTPS加密方式

    # 原创,转载请留言联系 为什么会出现这么多加密啊,公钥私钥啊,签名啊这些东西呢?说到底还是保证双方通信的安全性与完整性.例如小明发一封表白邮件给小红,他总不希望给别人看见吧.而各种各样的技术就是为了 ...

  9. erlang的RSA签名与验签

    1.RSA介绍 RSA是目前最有影响力的公钥加密算法,该算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对 其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,即公钥,而 ...

随机推荐

  1. servlet文件下载

    创建web工程servlet,新建DownloadServlet.java package com.xmyself.servlet; import java.io.File; import java. ...

  2. 07. Web大前端时代之:HTML5+CSS3入门系列~H5 地理位置

    Web大前端时代之:HTML5+CSS3入门系列:http://www.cnblogs.com/dunitian/p/5121725.html 源码:https://github.com/duniti ...

  3. Android 7.1 - App Shortcuts

    Android 7.1 - App Shortcuts 版权声明:本文为博主原创文章,未经博主允许不得转载. 微博:厉圣杰 源码:AndroidDemo/Shortcuts 文中如有纰漏,欢迎大家留言 ...

  4. Oracle数据库该如何着手优化一个SQL

    这是个终极问题,因为优化本身的复杂性实在是难以总结的,很多时候优化的方法并不是用到了什么高深莫测的技术,而只是一个思想意识层面的差异,而这些都很可能连带导致性能表现上的巨大差异. 所以有时候我们应该先 ...

  5. 海康网络摄像机YV12转换为BGR,由opencv Mat显示 (转)

    我使用的是海康DS-2CD852MF-E, 200万,网络摄像机,已经比较老了,不过SDK在海康官网下载的,开发流程都差不多. 海康摄像机回调解码后的视频数据格式为YV12,顺便说一下YV12的数据格 ...

  6. arcgis api for js入门开发系列五地图态势标绘(含源代码)

    上一篇实现了demo的地图查询功能,本篇新增地图态势标绘模块,截图如下: 本篇核心的在于调用API的Draw工具:https://developers.arcgis.com/javascript/3/ ...

  7. TypeScript

    TypeScript: Angular 2 的秘密武器(译)   本文整理自Dan Wahlin在ng-conf上的talk.原视频地址: https://www.youtube.com/watch? ...

  8. 小小改动帮你减少bundle.js文件体积(翻译)

    我已经从事过好多年的SPA开发工作,我发现很多的程序猿都从来不往 bundle.js 文件的体积上动脑筋,这让我有点懵逼. “安心洗路,等俺把代码混淆压缩后就一切666了”,若是有人这么说,我会翻白眼 ...

  9. ReactNative入门(安卓)——API(上)

    Alert - 弹窗 通过 Alert.alert() 方法调用唤起原生弹窗,点击会触发 onPress 回调(参考下方代码)并清除弹窗. import React, { AppRegistry, C ...

  10. Fedora 22中的Services and Daemons

    Introduction Maintaining security on your system is extremely important, and one approach for this t ...