快捷導(dǎo)航

詳解NodeJs支付寶移動支付簽名及驗簽

更新時間：2017年01月06日 08:35:29 作者：浩浩浩浩浩浩蕩

本文主要介紹了NodeJs支付寶移動支付簽名及驗簽的方法，具有一定的參考價值，下面跟著小編一起來看下吧

非常感謝：http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo 的文章，如果不是找到這篇文章我可能還要繼續(xù)坑幾天，代碼也基本都是照著他的搬過來的，不過支付寶移動支付文檔寫的非常糟糕而且沒有node的SDK和demo，寫起來異常痛苦..好在找到了這篇文章順便折騰了一下午支付寶的技術(shù)人員總算把移動支付整個流程給做完了，所以就順便記錄一下自己遇到的坑，和對移動支付整個流程的梳理。

支付寶給的流程圖還是很清晰的，其實基本流程就是

用戶向服務(wù)器請求一個付款
服務(wù)器生成一個帶簽名的訂單發(fā)送給客戶端
客戶端通過這個訂單向app sdk請求付款
sdk把用戶引入支付寶付款界面進行支付
支付成功后支付寶向前端返回支付成功結(jié)果，并且向服務(wù)器發(fā)送一個支付通知
服務(wù)器接收通知并且驗證是否是支付寶發(fā)送的成功結(jié)果

app客戶端需要做的很簡單：

向自己的服務(wù)器請求一個訂單，
接收到訂單后，向支付寶sdk發(fā)情一個支付請求
交易結(jié)束后返回一個成功或者失敗

服務(wù)器做的事情稍微多一點（注意：服務(wù)端需要存放應(yīng)用的私鑰進行簽名，還有支付寶的公鑰進行驗簽）：

1.接收到客戶端請求時候，生成一個帶簽名訂單返回給客戶端，中間的步奏有

1) 把相應(yīng)的配置數(shù)據(jù)生成一個數(shù)組，再把數(shù)組的數(shù)據(jù)生成一個有序的字符串

//將支付寶發(fā)來的數(shù)據(jù)生成有序數(shù)列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 將這組支付串進行RSA-SHA1算法，得到的結(jié)果再與存在服務(wù)端的私鑰進行簽名

//驗簽
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 有序的字符串+得到的簽名+簽名方法就是生成的訂單，將這組訂單返回給客戶端

//發(fā)送訂單號
 sendAlipay: function(req, res) {
 var code = ""
 for(var i = 0; i < 4; i++) {
 code += Math.floor(Math.random() * 10);
 }
 //訂單號暫時由時間戳與四位隨機碼生成
 AlipayConfig.out_trade_no = Date.now().toString() + code;
 var myParam = getParams(AlipayConfig);
 var mySign = getSign(AlipayConfig)
 var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
 console.log(last)
 return res.send(last)
 }

2.前半段的工作就做完了，接下來如果前端支付成功，支付寶會向我們預(yù)留好的回調(diào)接口發(fā)送一個POST請求，讓我們驗證用戶是否支付成功

1) 將支付寶發(fā)送過來的數(shù)據(jù)生成一個有序的字符串

//將支付寶發(fā)來的數(shù)據(jù)生成有序數(shù)列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 將獲取的數(shù)據(jù)進行hash然后根據(jù)公鑰進行對簽名的有效應(yīng)驗證，返回true和false

//驗簽
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 如果驗簽成功再生成支付寶通知url，來驗證是否是支付寶發(fā)來的通知（支付寶的驗證一大堆，腦殼都痛了），如果有數(shù)據(jù)則說明確實是支付寶發(fā)來的通知，這次交易有效

//回調(diào)驗簽
 getAlipay: function(req, res) {
 console.log(req.body)
 var params = req.body
 var mysign = veriySign(params);
 //驗證支付寶簽名mysign為true表示簽名正確
 console.log(mysign)
 try {
 //驗簽成功
 if(mysign) {
 if(params['notify_id']) {
 var partner = AlipayConfig.partner;
 //生成驗證支付寶通知的url
 var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
 console.log('url:' + url)
 //驗證是否是支付寶發(fā)來的通知
 https.get(url, function(text) {
 //有數(shù)據(jù)表示是由支付寶發(fā)來的通知
 if(text) {
 //交易成功
 console.log('success')
 } else {
 //交易失敗
 console.log('err')
 }
 })
 }
 }
 } catch(err) {
 console.log(err);
 }
 }

這樣整個流程就跑完了，代碼原博客都有，這里最多只是有些改成了sails的寫法，主要寫一下這次遇到的幾個坑和值得注意的幾個地方

1. 由于移動支付的文檔描述不清楚，私鑰其實上上傳到賬戶信息的mapi網(wǎng)管產(chǎn)品密鑰里：