非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo

的文章,如果不是找到这篇文章我可能还要继续坑几天,代码也基本都是照着他的搬过来的,不过支付宝移动支付文档写的非常糟糕而且没有node的SDK和demo,写起来异常痛苦..好在找到了这篇文章顺便折腾了一下午支付宝的技术人员总算把移动支付整个流程给做完了,所以就顺便记录一下自己遇到的坑,和对移动支付整个流程的梳理。

支付宝给的流程图还是很清晰的,其实基本流程就是

  1. 用户向服务器请求一个付款
  2. 服务器生成一个带签名的订单发送给客户端
  3. 客户端通过这个订单向app sdk请求付款
  4. sdk把用户引入支付宝付款界面进行支付
  5. 支付成功后支付宝向前端返回支付成功结果,并且向服务器发送一个支付通知
  6. 服务器接收通知并且验证是否是支付宝发送的成功结果

app客户端需要做的很简单:

  1. 向自己的服务器请求一个订单,
  2. 接收到订单后,向支付宝sdk发情一个支付请求
  3. 交易结束后返回一个成功或者失败

服务器做的事情稍微多一点(注意:服务端需要存放应用的私钥进行签名,还有支付宝的公钥进行验签):

  1. 接收到客户端请求时候,生成一个带签名订单返回给客户端,中间的步奏有
    1. 把相应的配置数据生成一个数组,再把数组的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将这组支付串进行RSA-SHA1算法,得到的结果再与存在服务端的私钥进行签名 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 有序的字符串+得到的签名+签名方法就是生成的订单,将这组订单返回给客户端 
      //发送订单号
      
    sendAlipay: function(req, res) {
      
        var code = ""
      
        for(var i = 0; i < 4; i++) {
      
            code += Math.floor(Math.random() * 10);
      
        }

        //订单号暂时由时间戳与四位随机码生成
      
        AlipayConfig.out_trade_no = Date.now().toString() + code;
      
        var myParam = getParams(AlipayConfig);
      
        var mySign = getSign(AlipayConfig)
      
        var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
      
        console.log(last)
      
        return res.send(last)
      
    }

  2. 前半段的工作就做完了,接下来如果前端支付成功,支付宝会向我们预留好的回调接口发送一个POST请求,让我们验证用户是否支付成功

    1. 将支付宝发送过来的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将获取的数据进行hash然后根据公钥进行对签名的有效应验证,返回true和false 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 如果验签成功再生成支付宝通知url,来验证是否是支付宝发来的通知(支付宝的验证一大堆,脑壳都痛了),如果有数据则说明确实是支付宝发来的通知,这次交易有效 
      //回调验签
      
    getAlipay: function(req, res) {
      
        console.log(req.body)
      
        var params = req.body
      
        var mysign = veriySign(params);
      
        //验证支付宝签名mysign为true表示签名正确
      
        console.log(mysign)
      
        try {
      
            //验签成功
      
            if(mysign) {
      
                if(params['notify_id']) {
      
                    var partner = AlipayConfig.partner;
      
                    //生成验证支付宝通知的url
      
                    var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
      
                    console.log('url:' + url)
      
                    //验证是否是支付宝发来的通知
      
                    https.get(url, function(text) {
      
                        //有数据表示是由支付宝发来的通知
      
                        if(text) {
      
                            //交易成功
      
                            console.log('success')
      
                        } else {
      
                            //交易失败
      
                            console.log('err')
      
                        }
      
                    })
      
                }
      
            }
      
        } catch(err) {
      
            console.log(err);
      
        }
      
    }

这样整个流程就跑完了,代码原博客都有,这里最多只是有些改成了sails的写法,主要写一下这次遇到的几个坑和值得注意的几个地方

  1. 由于移动支付的文档描述不清楚,私钥其实上上传到账户信息的mapi网管产品密钥里:而不是上传到应用的密钥里

  2. 移动支付只支持RSA(SHA1)

  3. ./是在sails里获取的到根目录下的密钥(有点搞不懂sails的这个路径)

  4. 生成订单时候的有序字符串格式是body="测试" ,有双引号,但是验签生成的有序字符串里不能有双引号

  

NodeJs支付宝移动支付签名及验签的更多相关文章

  1. 支付宝App支付签名和验签

    代码: using CMS.Utility.ReturnResult; using OAuthWebAPI.Package; using Common; using System; using Sys ...

  2. 微信,支付宝,支付异步通知验签,notify_url

    在支付接口开发中 ,当用户支付完成之后,阿里或者微信会向我们服务器发送一个支付结果的通知,里边带有一系列参数:其中特殊的是签名类型,和签名(他们根据这些参数做出来的签名). 我们的得到这些参数之后要去 ...

  3. Delphi支付宝支付【支持SHA1WithRSA(RSA)和SHA256WithRSA(RSA2)签名与验签】

    作者QQ:(648437169) 点击下载➨Delphi支付宝支付             支付宝支付api文档 [Delphi支付宝支付]支持条码支付.扫码支付.交易查询.交易退款.退款查询.交易撤 ...

  4. Delphi微信支付【支持MD5和HMAC-SHA256签名与验签】

    作者QQ:(648437169) 点击下载➨微信支付            微信支付api文档 [Delphi 微信支付]支持付款码支付.二维码支付.订单查询.申请退款.退款查询.撤销订单.关闭订单. ...

  5. .NET RSA解密、签名、验签

    using System; using System.Collections.Generic; using System.Text; using System.IO; using System.Sec ...

  6. PHP SHA1withRSA加密生成签名及验签

    最近公司对接XX第三方支付平台的代付业务,由于对方公司只有JAVA的demo,所以只能根据文档自己整合PHP的签名加密,网上找过几个方法,踩到各种各样的坑,还好最后算是搞定了,话不多说,代码分享出来. ...

  7. 中行P1签名及验签

    分享中国银行快捷.NET P1签名和验签方法代码中ReturnValue为自定义类型请无视 #region 验证签名 /// <summary> /// 验证签名 /// </sum ...

  8. 几个例子理解对称加密与非对称加密、公钥与私钥、签名与验签、数字证书、HTTPS加密方式

    # 原创,转载请留言联系 为什么会出现这么多加密啊,公钥私钥啊,签名啊这些东西呢?说到底还是保证双方通信的安全性与完整性.例如小明发一封表白邮件给小红,他总不希望给别人看见吧.而各种各样的技术就是为了 ...

  9. erlang的RSA签名与验签

    1.RSA介绍 RSA是目前最有影响力的公钥加密算法,该算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对 其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,即公钥,而 ...

随机推荐

  1. LDR详解

    ARM指令集中,LDR通常都是作加载指令的,但是它也可以作伪指令. LDR伪指令的形式是"LDR Rn,=expr".下面举一个例子来说明它的用法. COUNT EQU       ...

  2. ASP.NET MVC 请求路径相关参数的获取

    Request.ApplicationPath / Request.CurrentExecutionFilePath /Home/Index Request.FilePath /Home/Index ...

  3. ASP.NET内置对象的总结

    1. Response对象可形象的称之为响应对象,用于将数据从服务器发送回浏览器. 实例源码:链接: http://pan.baidu.com/s/1dDCKQ8x 密码: ihq0  2. Requ ...

  4. c#多线程

    一.使用线程的理由 1.可以使用线程将代码同其他代码隔离,提高应用程序的可靠性. 2.可以使用线程来简化编码. 3.可以使用线程来实现并发执行. 二.基本知识 1.进程与线程:进程作为操作系统执行程序 ...

  5. windows系统路径环境变量

    当前系统盘符%systemdrive%或%HOMEDRIVE%C:\ 当前系统目录%systemroot%或%Windir%C:\WINDOWS 当前用户文件夹%UserProfile%或%HOMEP ...

  6. github入门到上传本地项目【网上资源整合】

    [在原文章的基础上,修改了描述的不够详细的地方,对内容进行了扩充,整合了网上的一些资料] [内容主要来自http://www.cnblogs.com/specter45/p/github.html#g ...

  7. BZOJ 3894: 文理分科 [最小割]

    3894: 文理分科 Time Limit: 10 Sec  Memory Limit: 512 MBSubmit: 674  Solved: 392[Submit][Status][Discuss] ...

  8. 【每日一linux命令1】linux命令路径

    一.路径: 执行命令前必须要考虑的一步是命令的路径,若是路径错误或是没有正确的指定,可能导致错误 的执行或是找不到该命令.要知道设置的路径,可执行以下命令: echo $PATH 显示结果: 这时我们 ...

  9. 学习笔记:URL Protocol在浏览器中打开本地应用程序

    看到阿里的网站上可以通过点击卖家的旺旺图标从而调用本地的阿里旺旺程序,而且还可以传递当前浏览者需要咨询的商品.这是怎么实现的呢?是通过URLProtocol来完成. 原理还没有太清楚,即在系统里注册一 ...

  10. Java版本:识别Json字符串并分隔成Map集合

    前言: 最近又看了点Java的知识,于是想着把CYQ.Data V5迁移到Java版本. 过程发现坑很多,理论上看大部分很相似,实践上代码写起来发现大部分都要重新思考方案. 遇到的C#转Java的一些 ...