支付宝spi接口设计验签和返回结果加签注意点,支付宝使用JSONObject对象

SPI 三方服务接入指南
https://opendocs.alipay.com/isv/spiforisv

服务端实现 Demo
以下 Demo 是通过 Java 实现的 SPI 服务样例,包括验签 支付宝请求报文、业务逻辑处理、商家加签 以及 响应报文构造 的逻辑。
该 Demo 仅供参考,不同语言环境可根据该 Demo 的处理思路自行实现。

@RequestMapping(value  =  "/isv/spi/service")

      @ResponseBody

      public   String  spiService(@RequestParam   Map < String ,  String >  params ) {

          // http响应结果载体

          JSONObject result = new JSONObject();

          // 业务处理结果载体

          JSONObject response = new JSONObject();

          // 1、验签支付宝请求报文

          boolean   isPass = AlipaySignature.rsaCheckV1( params ,  alipayPublicKey ,  "UTF-8" ,  "RSA2" );

          if(isPass) {

              // 2、验签成功:处理业务逻辑,并构造业务处理结果

              response.put("code" ,  "10000");

              response.put("msg" ,  "Success");

              response.put("biz" ,  "value");

              JSONObject person = new JSONObject();

              person.put("age" , "18");

              person.put("height" , "180");

              response.put("person" , person);   // response中嵌套复杂类型数据结构场景

         }  else  {

              // 验签失败:构造错误码

              response.put("code" ,  "40004");

              response.put("msg" ,  "Business Failed");

              response.put("sub_code" , "ISV-VERIFICATION-FAILED");

              response.put("sub_msg" ,  "验签失败");

         }

          // 3、业务处理结果加签 (可选,查看 服务基础配置 章节)

          // contentToSign为 {"code":"10000","msg":"Success","biz":"value","person":{"age":"18","height":"180"}}

          String   contentToSign =  response.toJSONString();

          String   sign = AlipaySignature.rsaSign(contentToSign,isvPrivateKey ,"UTF-8","RSA2");

          // 4、构造http响应结果

          result.put("sign" ,  sign);

          //可选,查看 服务基础配置

          result.put("response" , response);

          // 返回json格式响应报文

          return  result.toJSONString();

     }

扩展:return result.toJSONString(); // resultJson
支付宝拿到这个返回的字符串。如何来验签呢?

//模拟接收端的方式

        JSONObject jsonObject = JSONObject.parseObject(resultJson);

        String responseJson = jsonObject.getString("response");

        String signJson = jsonObject.getString("sign");

        System.out.println("responseJson=" + responseJson);

        System.out.println("signJson=" + signJson);

        boolean isPass = AlipaySignature.rsaCheck(responseJson, signJson,pub_key, "UTF-8", "RSA2");

        System.out.println("isPass=" + isPass);

需要注意点:
1. 接口使用Map来接收 @RequestParam Map < String , String > params
// 1、验签支付宝请求报文
boolean isPass = AlipaySignature.rsaCheckV1( params , alipayPublicKey , "UTF-8" , "RSA2" );
你先验签,然后再解析,验证不用管map是啥,我们传什么你们正常验证就行。而不是使用对象或单个字段来接收,无法确保接收的数据是全部的。不然影响签名。
支付宝调用过来的:是支付宝使用支付宝私钥签名,商户端使用支付宝公钥验签。

同理:如果是商户对结果加签,是使用商户的私钥签名,支付宝接收到后使用商户的公钥来验签。

使用map获取签名的字符串方法:String content = AlipaySignature.getSignCheckContentV1(params);
//map的加签字符是可以固定顺序的。同理:json字符串固定顺序只能通过使用相同的对象(JSONObject)来转换达到字符相同。

 public static String getSignCheckContentV1(Map<String, String> params) {

        if (params == null) {

            return null;

        }

        params.remove("sign");

        params.remove("sign_type");

        StringBuilder content = new StringBuilder();

        List<String> keys = new ArrayList<String>(params.keySet());

        Collections.sort(keys);

        int index = 0;

        for (int i = 0; i < keys.size(); i++) {

            String key = keys.get(i);

            String value = params.get(key);

            if (StringUtils.areNotEmpty(key, value)) {

                content.append((index == 0 ? "" : "&") + key + "=" + value);

                index++;

            }

        }

        return content.toString();

    }

2. 验签报错,是因为从钉钉里面复制的sign是url编码后的。 而实际接口是未url编码的字符串。
spiServiceCreate occur exception : com.alipay.api.AlipayApiException: RSA2验签遭遇异常,请检查公钥格式或签名是否正确。Signature length not correct: got 267 but was expecting 256
对比看了下,这个日志里面的sign是url编码过的,而在接口请求过来的sign是没有url编码。实际在验证签名的时候,不能使用编码后的字符,如果已经编码过,需要解码。

3.验签用公钥。加签名用私钥。需要注意两端的公私钥,公钥是一致的,如果不一致,则验签不通过。

4.返回结果key参数去掉。无需返回,接口文档中是有这个。 实际会影响对方验证签名。
错误格式,不需要key,影响验签:

{

      "response" :{

          "code" : "10000" ,

          "msg" : "Success" ,

          "key" : "value"

     },

      "sign" : "xxx"

 }

正确格式:

{

      "response" :{

          "code" : "10000" ,

          "msg" : "Success" ,

          "name" : "lisi"

     },

      "sign" : "TqnBnkILs86FJWRqWWZptqIpSKLIp2vnwod177h7GLyWuLhzgRHpXgXd8GoD4flyHrHBTycQdiUjWw6VqCE5rYHrJU3iYqI1e0MLlhCb"

数据格式:

response JSONObject

	code String

	msg  String

	name String  业务字段

sign  String

5.机构合约编号最好用个规范字符串
最好是日期开头20240613+业务标识+业务号+随机+这种有点业务语义的

6.Gson == 转义成了 \u003d\u003d, 需要使用 fastJson,涉及到url编码的字符串尽量不使用Gson。

7.需要对比一下,json字符串里面的字段的顺序。 顺序也会影响签名。关键,比如:123,132,321是3个不同的签名字符。
JSON.toJSONString
String contentToSign = jsonObject2.toJSONString();
测试发现:上面两个转换成json字符串,实际上json字符串中的字段顺序不一致,导致签名和验签的contentToSign不一致,验签错误。
结论:支付宝验签是使用的:JSONObject方式来转的json,所以商户端也需要使用JSONObject来转json字符串。

8. response对象是JSONObject对象,而不是String json字符串。
JSONObject jsonObject = (JSONObject) JSON.toJSON(realResponse); //对象转JSONObject
//spiBaseResponseVo.setResponse(JSON.toJSONString(realResponse)); //错误

//测试代码(解决方案,使用JSONObject,同理:项目中可以使用业务VO对象,在签名获取contentToSign字符串的时候,将业务对象转换为JSONObject也可以解决。)

import com.alibaba.fastjson.JSONObject;

import com.alipay.api.internal.util.AlipaySignature;

public class AlipaySignature5Test {

    //商户私钥

    private static String prv_key =   "商户私钥";

    //商户公钥

    private static String pub_key =   "商户公钥";

    public static void main(String[] args) throws Exception{

        // http响应结果载体

        JSONObject result = new JSONObject();

        // 业务处理结果载体

        JSONObject response = new JSONObject();

        response.put("code" ,  "10000");

        response.put("msg" ,  "Success");

        response.put("inst_ser_contract_no" ,  "20240614Test123456789");

        // 3、业务处理结果加签 (可选,查看 服务基础配置 章节)

        // contentToSign为 {"code":"10000","msg":"Success","biz":"value","person":{"age":"18","height":"180"}}

        String   contentToSign =  response.toJSONString();

        System.out.println("content=" + contentToSign);

        String   sign2 = AlipaySignature.rsaSign(contentToSign,prv_key ,"UTF-8","RSA2");

        System.out.println("sign2=" + sign2);

        // 4、构造http响应结果

        result.put("sign" ,  sign2);

        //可选,查看 服务基础配置

        result.put("response" , response);

        // 返回json格式响应报文

        String resultJson =  result.toJSONString();

        System.out.println("接口返回的结果=" + resultJson);

        //直接拿resultJson验签会返回false

        //boolean isPass = AlipaySignature.rsaCheck(resultJson, sign2,pub_key, "UTF-8", "RSA2");

        //接收端的方式

        JSONObject jsonObject = JSONObject.parseObject(resultJson);

        String responseJson = jsonObject.getString("response");

        String signJson = jsonObject.getString("sign");

        System.out.println("responseJson=" + responseJson);

        System.out.println("signJson=" + signJson);

        boolean isPass = AlipaySignature.rsaCheck(responseJson, signJson,pub_key, "UTF-8", "RSA2");

        System.out.println("isPass=" + isPass);

    }

}
//测试代码(解决方案,使用JSONObject,同理:项目中可以使用业务VO对象,在签名获取contentToSign字符串的时候,将业务对象转换为JSONObject也可以解决。)

import com.alibaba.fastjson.JSONObject;

import com.alipay.api.internal.util.AlipaySignature;

public class AlipaySignature5Test {

    //商户私钥

    private static String prv_key =   "商户私钥";

    //商户公钥

    private static String pub_key =   "商户公钥";

    public static void main(String[] args) throws Exception{

        // http响应结果载体

        JSONObject result = new JSONObject();

        // 业务处理结果载体

        JSONObject response = new JSONObject();

        response.put("code" ,  "10000");

        response.put("msg" ,  "Success");

        response.put("inst_ser_contract_no" ,  "20240614Test123456789");

        // 3、业务处理结果加签 (可选,查看 服务基础配置 章节)

        // contentToSign为 {"code":"10000","msg":"Success","biz":"value","person":{"age":"18","height":"180"}}

        String   contentToSign =  response.toJSONString();

        System.out.println("content=" + contentToSign);

        String   sign2 = AlipaySignature.rsaSign(contentToSign,prv_key ,"UTF-8","RSA2");

        System.out.println("sign2=" + sign2);

        // 4、构造http响应结果

        result.put("sign" ,  sign2);

        //可选,查看 服务基础配置

        result.put("response" , response);

        // 返回json格式响应报文

        String resultJson =  result.toJSONString();

        System.out.println("接口返回的结果=" + resultJson);

        //直接拿resultJson验签会返回false

        //boolean isPass = AlipaySignature.rsaCheck(resultJson, sign2,pub_key, "UTF-8", "RSA2");

        //接收端的方式

        JSONObject jsonObject = JSONObject.parseObject(resultJson);

        String responseJson = jsonObject.getString("response");

        String signJson = jsonObject.getString("sign");

        System.out.println("responseJson=" + responseJson);

        System.out.println("signJson=" + signJson);

        boolean isPass = AlipaySignature.rsaCheck(responseJson, signJson,pub_key, "UTF-8", "RSA2");

        System.out.println("isPass=" + isPass);

    }

}

支付宝spi接口设计验签和返回结果加签注意点,支付宝使用JSONObject对象的更多相关文章

  1. Django 支付宝付款接口的使用

    我们在开发的过程中经常会碰到调用微信或者支付宝接口进行付款,付款完成之后,如果用户绑定了我的账号,我只要有活动了,就要给这个关注我的用户推动消息,让用户知道,比如说,我们经常会关注一些公众号,然后这些 ...

  2. Http请求加签、验证操作

    加签.验签的作用 常见的http请求交互过程中,请求参数通过url或者request body等形式传输.但是由于http请求的开放性,使得请求参数很容易被拦截篡改.因此,需要对请求参数进行加签,然后 ...

  3. Slickflow.NET 开源工作流引擎基础介绍(五) -- 会签加签高级特性介绍

    前言:会签和加签是常见审批流程模式,在引擎中,对这两种流程模式做了分别定义和实现,其中也用到了Workflow Pattern的Multiple Instance(多实例) . 1. 会签和加签的定义 ...

  4. 工作流一期上线原创小故事——【加签】OR【不准】

    亲!您有过选择[加签]还是审核[不准]的烦恼吗? 加签分为:向前加签和向后加签,这个相信大家都很熟悉了吧. 审核分为:准和不准,就是√和×,这个相信大家也很熟悉了. 提示①:相邻的2个人审核时,如果意 ...

  5. Java Http接口加签、验签操作方法

    1.业务背景 最近接触了一些电商业务,发现在处理电商业务接口时,比如淘宝.支付类接口,接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确 ...

  6. 25-javaweb接入支付宝支付接口

    想熟悉支付宝接口支付,后面可能会用,不如在课设中试试手.好吧听说支付宝不微信支付要简单些,就拿支付宝的先练下手吧. 基本学习流程,百度一下,找篇博客看下. 推荐下面这个篇博客,讲的挺好的,复制过来. ...

  7. Android开发---支付宝功能接口(支付功能)(转载!)

    最近在做一个关于购物商城的项目,项目里面付款这块我选的是调用支付宝的接口,因为用的人比较多. 在网上搜索了以下,有很多这方面的教程,但大部分教程过于陈旧,而且描述的过于简单.而且支付宝提供的接口一直在 ...

  8. RSA加密解密及RSA加签验签

    RSA安全性应用场景说明 在刚接触RSA的时候,会混淆RSA加密解密和RSA加签验签的概念.简单来说加密解密是公钥加密私钥解密,持有公钥(多人持有)可以对数据加密,但是只有持有私钥(一人持有)才可以解 ...

  9. python调用支付宝支付接口

    python调用支付宝支付接口详细示例—附带Django demo代码   项目演示: 一.输入金额 二.跳转到支付宝付款 三.支付成功 四.跳转回自己网站 在使用支付宝接口的前期准备: 1.支付宝公 ...

  10. python调用支付宝支付接口详细示例—附带Django demo代码

    项目演示: 一.输入金额 二.跳转到支付宝付款 三.支付成功 四.跳转回自己网站 在使用支付宝接口的前期准备: 1.支付宝公钥 2.应用公钥 3.应用私钥 4.APPID 5.Django 1.11. ...

随机推荐

  1. [FAQ] puppeteer 清空输入框的值 并 重新输入

    一种方式是,清空输入框可以通过如下注入代码实现,但是可能存在 和页面本身的操作 存在优先级问题. await page.evaluate( () => document.getElementBy ...

  2. Windows 对全屏应用的优化

    全屏应用对应的是窗口模式应用,全屏应用指的是整个屏幕都是被咱一个应用独占了,屏幕上没有显示其他的应用,此时的应用就叫全屏应用.如希沃白板这个程序.本文主要告诉大家从微软官方的文档以及考古了解到的 Wi ...

  3. 《Effective C++》第三版-0. 导读(Introduction)

    目录 术语(Terminology) 命名习惯(Naming Conventions) 关于线程(Threading Consideration) TR1和Boost 术语(Terminology) ...

  4. 请查收这份 6.3k star的 Java 攻城狮学习指南!

    大家好,我是 Java陈序员. 自从一入 Java 开发的坑,可谓是每天过得神清气爽(水深火热). 每天不是被项目经理赶进度,就是被测试小姐姐追着改 Bug!都没有时间好好学习(摸鱼)了! 今天给大家 ...

  5. 一键入门到精通:sd-webui-prompt-all-in-one 项目大揭秘!

    今天向大家推荐一个宝藏项目.在创意无限的AI艺术生成世界中,sd-webui-prompt-all-in-one 项目如一股清流,为广大创作者和开发者带来了前所未有的便捷和灵感.这不仅仅是一个项目,它 ...

  6. 04 Xpath_[实例]爬取maoyan

    目录 Xpath lxml库的安装和使用 提取的内容 代码 生成的csv 下载的图片 参考文档 Xpath lxml库的安装和使用 提取的内容 随意选取的一段 节点包含的影片信息,如下所示: < ...

  7. 欧几里得算法求最大公因数gcd原理证明

    要证明欧几里得算法原理,首先需要证明下面两个定理(其中a,b都是整数): 1 如果c可以整除a,同时c也可以整除b,那么c就可以整除au + bv(u,v是任意的整数). 这个定理的证明很简单,$\f ...

  8. 简述 js 的代码整洁之道

    文章参考出自:https://juejin.cn/post/7224382896626778172 前言 为什么代码要整洁? 代码质量与整洁度成正比.有的团队在赶工期的时候,不注重代码的整洁,代码写的 ...

  9. Windows远程连接工具有哪些

    Windows远程连接工具,一般称为远程桌面软件,更准确的叫远程访问软件或远程控制软件,可以让你从一台电脑远程控制另一台电脑.远程桌面软件允许您控制连接的计算机,就好像它就在您面前一样. 远程桌面工具 ...

  10. 我发现了字节OpenApi接口的bug!

    本文记录我在对接字节旗下产品火山云旗下云游戏产品 OpenApi 接口文档时遇到的坑,希望能帮助大家(火山云旗下云游戏产品的文档坑很多,我算是从零到一都踩了一遍,特此记录,希望大家引以为鉴). 1. ...