非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo

的文章,如果不是找到这篇文章我可能还要继续坑几天,代码也基本都是照着他的搬过来的,不过支付宝移动支付文档写的非常糟糕而且没有node的SDK和demo,写起来异常痛苦..好在找到了这篇文章顺便折腾了一下午支付宝的技术人员总算把移动支付整个流程给做完了,所以就顺便记录一下自己遇到的坑,和对移动支付整个流程的梳理。

支付宝给的流程图还是很清晰的,其实基本流程就是

  1. 用户向服务器请求一个付款
  2. 服务器生成一个带签名的订单发送给客户端
  3. 客户端通过这个订单向app sdk请求付款
  4. sdk把用户引入支付宝付款界面进行支付
  5. 支付成功后支付宝向前端返回支付成功结果,并且向服务器发送一个支付通知
  6. 服务器接收通知并且验证是否是支付宝发送的成功结果

app客户端需要做的很简单:

  1. 向自己的服务器请求一个订单,
  2. 接收到订单后,向支付宝sdk发情一个支付请求
  3. 交易结束后返回一个成功或者失败

服务器做的事情稍微多一点(注意:服务端需要存放应用的私钥进行签名,还有支付宝的公钥进行验签):

  1. 接收到客户端请求时候,生成一个带签名订单返回给客户端,中间的步奏有
    1. 把相应的配置数据生成一个数组,再把数组的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将这组支付串进行RSA-SHA1算法,得到的结果再与存在服务端的私钥进行签名 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 有序的字符串+得到的签名+签名方法就是生成的订单,将这组订单返回给客户端 
      //发送订单号
      
    sendAlipay: function(req, res) {
      
        var code = ""
      
        for(var i = 0; i < 4; i++) {
      
            code += Math.floor(Math.random() * 10);
      
        }

        //订单号暂时由时间戳与四位随机码生成
      
        AlipayConfig.out_trade_no = Date.now().toString() + code;
      
        var myParam = getParams(AlipayConfig);
      
        var mySign = getSign(AlipayConfig)
      
        var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
      
        console.log(last)
      
        return res.send(last)
      
    }

  2. 前半段的工作就做完了,接下来如果前端支付成功,支付宝会向我们预留好的回调接口发送一个POST请求,让我们验证用户是否支付成功

    1. 将支付宝发送过来的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将获取的数据进行hash然后根据公钥进行对签名的有效应验证,返回true和false 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 如果验签成功再生成支付宝通知url,来验证是否是支付宝发来的通知(支付宝的验证一大堆,脑壳都痛了),如果有数据则说明确实是支付宝发来的通知,这次交易有效 
      //回调验签
      
    getAlipay: function(req, res) {
      
        console.log(req.body)
      
        var params = req.body
      
        var mysign = veriySign(params);
      
        //验证支付宝签名mysign为true表示签名正确
      
        console.log(mysign)
      
        try {
      
            //验签成功
      
            if(mysign) {
      
                if(params['notify_id']) {
      
                    var partner = AlipayConfig.partner;
      
                    //生成验证支付宝通知的url
      
                    var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
      
                    console.log('url:' + url)
      
                    //验证是否是支付宝发来的通知
      
                    https.get(url, function(text) {
      
                        //有数据表示是由支付宝发来的通知
      
                        if(text) {
      
                            //交易成功
      
                            console.log('success')
      
                        } else {
      
                            //交易失败
      
                            console.log('err')
      
                        }
      
                    })
      
                }
      
            }
      
        } catch(err) {
      
            console.log(err);
      
        }
      
    }

这样整个流程就跑完了,代码原博客都有,这里最多只是有些改成了sails的写法,主要写一下这次遇到的几个坑和值得注意的几个地方

  1. 由于移动支付的文档描述不清楚,私钥其实上上传到账户信息的mapi网管产品密钥里:而不是上传到应用的密钥里

  2. 移动支付只支持RSA(SHA1)

  3. ./是在sails里获取的到根目录下的密钥(有点搞不懂sails的这个路径)

  4. 生成订单时候的有序字符串格式是body="测试" ,有双引号,但是验签生成的有序字符串里不能有双引号

  

NodeJs支付宝移动支付签名及验签的更多相关文章

  1. 支付宝App支付签名和验签

    代码: using CMS.Utility.ReturnResult; using OAuthWebAPI.Package; using Common; using System; using Sys ...

  2. 微信,支付宝,支付异步通知验签,notify_url

    在支付接口开发中 ,当用户支付完成之后,阿里或者微信会向我们服务器发送一个支付结果的通知,里边带有一系列参数:其中特殊的是签名类型,和签名(他们根据这些参数做出来的签名). 我们的得到这些参数之后要去 ...

  3. Delphi支付宝支付【支持SHA1WithRSA(RSA)和SHA256WithRSA(RSA2)签名与验签】

    作者QQ:(648437169) 点击下载➨Delphi支付宝支付             支付宝支付api文档 [Delphi支付宝支付]支持条码支付.扫码支付.交易查询.交易退款.退款查询.交易撤 ...

  4. Delphi微信支付【支持MD5和HMAC-SHA256签名与验签】

    作者QQ:(648437169) 点击下载➨微信支付            微信支付api文档 [Delphi 微信支付]支持付款码支付.二维码支付.订单查询.申请退款.退款查询.撤销订单.关闭订单. ...

  5. .NET RSA解密、签名、验签

    using System; using System.Collections.Generic; using System.Text; using System.IO; using System.Sec ...

  6. PHP SHA1withRSA加密生成签名及验签

    最近公司对接XX第三方支付平台的代付业务,由于对方公司只有JAVA的demo,所以只能根据文档自己整合PHP的签名加密,网上找过几个方法,踩到各种各样的坑,还好最后算是搞定了,话不多说,代码分享出来. ...

  7. 中行P1签名及验签

    分享中国银行快捷.NET P1签名和验签方法代码中ReturnValue为自定义类型请无视 #region 验证签名 /// <summary> /// 验证签名 /// </sum ...

  8. 几个例子理解对称加密与非对称加密、公钥与私钥、签名与验签、数字证书、HTTPS加密方式

    # 原创,转载请留言联系 为什么会出现这么多加密啊,公钥私钥啊,签名啊这些东西呢?说到底还是保证双方通信的安全性与完整性.例如小明发一封表白邮件给小红,他总不希望给别人看见吧.而各种各样的技术就是为了 ...

  9. erlang的RSA签名与验签

    1.RSA介绍 RSA是目前最有影响力的公钥加密算法,该算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对 其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,即公钥,而 ...

随机推荐

  1. 旺财速啃H5框架之Bootstrap(四)

    上一篇<<旺财速啃H5框架之Bootstrap(三)>>已经把导航做了,接下来搭建内容框架.... 对于不规整的网页,要做成自适应就有点玩大了.... 例如下面这种版式的页面. ...

  2. solr_架构案例【京东站内搜索】(附程序源代码)

    注意事项:首先要保证部署solr服务的Tomcat容器和检索solr服务中数据的Tomcat容器,它们的端口号不能发生冲突,否则web程序是不可能运行起来的. 一:solr服务的端口号.我这里的sol ...

  3. NodeJs支付宝移动支付签名及验签

    非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_co ...

  4. HTML5笔记2——HTML5音/视频标签详解

    音视频的发展史 早期:<embed>+<object>+文件 问题:不是所有浏览器都支持,而且embed不是标准. 现状:Realplay.window media.Quick ...

  5. Kotlin中变量不同于Java: var 对val(KAD 02)

    原文标题:Variables in Kotlin, differences with Java. var vs val (KAD 02) 作者:Antonio Leiva 时间:Nov 28, 201 ...

  6. Android事件分发机制浅谈(一)

    ---恢复内容开始--- 一.是什么 我们首先要了解什么是事件分发,通俗的讲就是,当一个触摸事件发生的时候,从一个窗口到一个视图,再到一个视图,直至被消费的过程. 二.做什么 在深入学习android ...

  7. 如何区别数据库删除语句drop与delete与truncate?

    1.delete:删除数据表中的行(可以删除某一行,也可以在不删除数据表的情况下删除所有行) 删除某一行:delete from 数据表名称 where 列名称=值: 删除所有行:delete*fro ...

  8. Oracle 表空间和用户权限管理

    一. 表空间 Oracle数据库包含逻辑结构和物理结构. 数据库的物理结构指的是构成数据库的一组操作系统文件. 数据库的逻辑结构是指描述数据组织方式的一组逻辑概念以及它们之间的关系. 表空间是数据库逻 ...

  9. spring mvc 数据校验

    1.需要导入的jar包: slf4j-api-1.7.21.jar validation-api-1.0.0.GA.jar hibernate-validator-4.0.1.GA.jar 2.访问页 ...

  10. LeetCode-1TwoSum(C#)

    # 题目 1. Two Sum Given an array of integers, return indices of the two numbers such that they add up ...