微信码农的世界Java学习笔记

微信官方支付验签源码分析

2018-04-18  本文已影响35人  雨果是程序员

1.背景

随着微信的迅速崛起,在互联网支付的方式中,微信支付成了举足轻重的一部分。作为程序员,在朝着互联网靠拢的途中,了解微信支付必不可少。此处,笔者分享一下微信官方对于微信回调通知返回的xml数据进行支付验证签名的处理。

2.源码分析

1.官方地址:https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

2.源码分析(注释解释)

/**
     * 判断签名是否正确
     *
     * @param xmlStr XML格式数据
     * @param key API密钥
     * @return 签名是否正确
     * @throws Exception
     */
 public static boolean isSignatureValid(String xmlStr, String key) throws Exception {
    //将xml格式数据转化为map格式   
    Map<String, String> data = xmlToMap(xmlStr);
        if (!data.containsKey(WXPayConstants.FIELD_SIGN) ) {
            //如果返回xml数据中不包含sign签名标记数据,则直接返回false
            return false;
        }
        //获取微信返回数据中的sign签名数据
        String sign = data.get(WXPayConstants.FIELD_SIGN);
        //将data和key进行签名组装,与返回数据中的sign签名数据对比
        return generateSignature(data, key).equals(sign);
    }
/**
     * 生成签名
     *
     * @param data 待签名数据
     * @param key API密钥
     * @return 签名
     */
    public static String generateSignature(final Map<String, String> data, String key) throws Exception {
        return generateSignature(data, key, SignType.MD5);
    }
 /**
     * 生成签名. 注意,若含有sign_type字段,必须和signType参数保持一致。
     *
     * @param data 待签名数据
     * @param key API密钥
     * @param signType 签名方式
     * @return 签名
     */
    public static String generateSignature(final Map<String, String> data, String key, SignType signType) throws Exception {
        //通过keySet获取所有的key集合
        Set<String> keySet = data.keySet();
        //将set转化为数组keyArray
        String[] keyArray = keySet.toArray(new String[keySet.size()]);
        //数组升序排序
        Arrays.sort(keyArray);
        //构建StringBuilder字符串变量
        StringBuilder sb = new StringBuilder();
        //for循环key数组
        for (String k : keyArray) {
            //(重点1)如果数组中包含sign,则继续,不做字符串拼接操作
            if (k.equals(WXPayConstants.FIELD_SIGN)) {
                continue;
            }
             // 参数值为空,则不参与签名
            if (data.get(k).trim().length() > 0)
                //字符串拼接形式:key1=value1&key2=value2
                sb.append(k).append("=").append(data.get(k).trim()).append("&");
        }
        //(重点2)拼接密钥,参数上传的密钥
        sb.append("key=").append(key);
        //如果签名加密方式为MD5,则将字符串所有的英文字符转换为大写字母,再做MD5编码,返回md5加密结果
        if (SignType.MD5.equals(signType)) {
            //(重点3)返回加密结果字符串
            return MD5(sb.toString()).toUpperCase();
        }
        //如果签名加密方式为HMACSHA256,则直接将字符串和key密钥直接生成 HMACSHA256
        else if (SignType.HMACSHA256.equals(signType)) {
            //(重点3)返回加密结果字符串
            return HMACSHA256(sb.toString(), key);
        }
        //如果是其他加密方式,则报异常
        else {
            throw new Exception(String.format("Invalid sign_type: %s", signType));
        }
    }

3.回顾

思想:分析微信支付回调通知中的数据,将签名sign过滤掉,替换成API支付密钥,然后做字符串拼接,做MD5或HMACSHA256加密,返回加密结果字符串的一个逆向替换过程。再和微信数据中的sign签名做对比。相同则,验签通过。否则,不通过。

上一篇下一篇

猜你喜欢

热点阅读