支付宝iOS SDK Demo加密解密分析(2)

上一篇文章讲了支付宝iOS SDK加密解密的逻辑，主要是从客户端开发的角度分析。这篇文章会根据支付宝服务端php demo，来分析服务端的加密解密流程。

按照支付的场景，当用户支付完成后，客户端的逻辑就执行完了。这个时候支付宝会回调商家设置的notifyURL，这个值是在客户端设置的。

order.notifyURL = @"http://www.xxx.com"; //回调URL

这个url是商品自己的服务端url，用来处理支付宝的回调。这个回调URL需要解决两个问题：

1. 证明请求是由支付宝发起的
2. 证明请求的数据在传输过程中没有被篡改

其实这两个问题在上一篇文章里也已经遇到了，解决方案和上一篇文章也差不多，只不过这次角色对调了。

解决方案：

1. 支付宝用自己的私钥将特征码加密后，将此数据发给商家服务器，服务器使用支付宝的公钥对密文进行解密，如果解密成功可唯一确定这是用支付宝的私钥加密的密文。
2. 支付宝对商品数据做SHA1签名，得到一个和这个商品信息唯一相关的字符串，然后对这个字符串加密，然后将这个加密后的字符串给商户服务器，商户拿到商品信息和这个加密后的字符串后，首先解密，还原为SHA1签名字符串，然后对商品信息进行SHA1签名，对比这两个SHA1签名字符串，如果相等，那么这个商品一定没有被篡改过。因为如果信息被篡改，那么这个SHA1签名肯定不一样；如果有人想要伪造这个SHA1签名，又需要私钥，所以这就保证了这个商品是支付宝发的。

原理清楚了，我们看看支付宝提供的php demo是怎么具体处理的。

//notify.php

//计算得出通知验证结果
$alipayNotify = new AlipayNotify($alipay_config);
if($alipayNotify->getResponse($_POST['notify_id']))//判断成功之后使用getResponse方法判断是否是支付宝发来的异步通知。
{
    if($alipayNotify->getSignVeryfy($_POST, $_POST['sign'])) {//使用支付宝公钥验签
        

这里通过调用getSignVeryfy，用支付宝公钥验签

//alipay_notify.class.php

/**
 * 获取返回时的签名验证结果
 * @param $para_temp 通知返回来的参数数组
 * @param $sign 返回的签名结果
 * @return 签名验证结果
 */
function getSignVeryfy($para_temp, $sign) {
    //除去待签名参数数组中的空值和签名参数
    $para_filter = paraFilter($para_temp);
    
    //对待签名参数数组排序
    $para_sort = argSort($para_filter);

    //把数组所有元素，按照“参数=参数值”的模式用“&”字符拼接成字符串
    $prestr = createLinkstring($para_sort);
    
    $isSgin = false;
    switch (strtoupper(trim($this->alipay_config['sign_type']))) {
        case "RSA" :
            $isSgin = rsaVerify($prestr, trim($this->alipay_config['alipay_public_key']), $sign);
            break;
        default :
            $isSgin = false;
    }
    
    return $isSgin;
}

这里通过rsaVerify($data, $alipay_public_key, $sign)完成验签，$data是待签名数据，它是把_POST数组所有元素，按照“参数=参数值”的模式用“&”字符拼接成字符串，也就是所有的商品参数。$alipay_public_key是支付宝的公钥字符串，$sign是要要校对的的签名结果，它的值是通过$_POST['sign']获取的。函数实现如下

/**
 * RSA验签
 * @param $data 待签名数据
 * @param $alipay_public_key 支付宝的公钥字符串
 * @param $sign 要校对的的签名结果
 * return 验证结果
 */
function rsaVerify($data, $alipay_public_key, $sign)  {
    //以下为了初始化私钥，保证在您填写私钥时不管是带格式还是不带格式都可以通过验证。
    $alipay_public_key=str_replace("-----BEGIN PUBLIC KEY-----","",$alipay_public_key);
    $alipay_public_key=str_replace("-----END PUBLIC KEY-----","",$alipay_public_key);
    $alipay_public_key=str_replace("\n","",$alipay_public_key);

    $alipay_public_key='-----BEGIN PUBLIC KEY-----'.PHP_EOL.wordwrap($alipay_public_key, 64, "\n", true) .PHP_EOL.'-----END PUBLIC KEY-----';
    $res=openssl_get_publickey($alipay_public_key);
    if($res)
    {
        $result = (bool)openssl_verify($data, base64_decode($sign), $res);
    }
    else {
        echo "您的支付宝公钥格式不正确!"."<br/>"."The format of your alipay_public_key is incorrect!";
        exit();
    }
    openssl_free_key($res);    
    return $result;
}

这里通过openssl_verify()，完成验签。

openssl_verify() verifies that the signature is correct for the specified data using the public key associated with pub_key_id. This must be the public key corresponding to the private key used for signing.

如果验签成功，执行业务逻辑代码，比如订单状态变更等；否则，提示错误信息。

总结：

通过RSA加密，支付宝保证了数据的安全传递。类似地，如果需要实现客户端和服务器加密传输，我们可以采用类似的策略，来保证数据的安全传输。