【微信支付】微信官方支付驗籤原始碼分析
阿新 • • 發佈:2019-02-02
1.背景
隨著微信的迅速崛起,在網際網路支付的方式中,微信支付成了舉足輕重的一部分。作為程式設計師,在朝著網際網路靠攏的途中,瞭解微信支付必不可少。此處,筆者分享一下微信官方對於微信回撥通知返回的xml資料進行支付驗證簽名的處理。
2.原始碼分析
/**
* 判斷簽名是否正確
*
* @param xmlStr XML格式資料
* @param key API金鑰
* @return 簽名是否正確
* @throws Exception
*/
public static boolean isSignatureValid /**
* 生成簽名
*
* @param data 待簽名資料
* @param key API金鑰
* @return 簽名
*/
public static String generateSignature(final Map<String, String> data, String key) throws Exception {
return generateSignature(data, key, SignType.MD5);
} /**
* 生成簽名. 注意,若含有sign_type欄位,必須和signType引數保持一致。
*
* @param data 待簽名資料
* @param key API金鑰
* @param signType 簽名方式
* @return 簽名
*/
public static String generateSignature(final Map<String, String> data, String key, SignType signType) throws Exception {
//通過keySet獲取所有的key集合
Set<String> keySet = data.keySet();
//將set轉化為陣列keyArray
String[] keyArray = keySet.toArray(new String[keySet.size()]);
//陣列升序排序
Arrays.sort(keyArray);
//構建StringBuilder字串變數
StringBuilder sb = new StringBuilder();
//for迴圈key陣列
for (String k : keyArray) {
//(重點1)如果陣列中包含sign,則繼續,不做字串拼接操作
if (k.equals(WXPayConstants.FIELD_SIGN)) {
continue;
}
// 引數值為空,則不參與簽名
if (data.get(k).trim().length() > 0)
//字串拼接形式:key1=value1&key2=value2
sb.append(k).append("=").append(data.get(k).trim()).append("&");
}
//(重點2)拼接金鑰,引數上傳的金鑰
sb.append("key=").append(key);
//如果簽名加密方式為MD5,則將字串所有的英文字元轉換為大寫字母,再做MD5編碼,返回md5加密結果
if (SignType.MD5.equals(signType)) {
//(重點3)返回加密結果字串
return MD5(sb.toString()).toUpperCase();
}
//如果簽名加密方式為HMACSHA256,則直接將字串和key金鑰直接生成 HMACSHA256
else if (SignType.HMACSHA256.equals(signType)) {
//(重點3)返回加密結果字串
return HMACSHA256(sb.toString(), key);
}
//如果是其他加密方式,則報異常
else {
throw new Exception(String.format("Invalid sign_type: %s", signType));
}
}3.回顧
思想:分析微信支付回撥通知中的資料,將簽名sign過濾掉,替換成API支付金鑰,然後做字串拼接,做MD5或HMACSHA256加密,返回加密結果字串的一個逆向替換過程。再和微信資料中的sign簽名做對比。相同則,驗籤通過。否則,不通過。