快捷導(dǎo)航

詳解NodeJs支付寶移動(dòng)支付簽名及驗(yàn)簽

更新時(shí)間：2017年01月06日 08:35:29 作者：浩浩浩浩浩浩蕩

本文主要介紹了NodeJs支付寶移動(dòng)支付簽名及驗(yàn)簽的方法，具有一定的參考價(jià)值，下面跟著小編一起來看下吧

非常感謝：http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo 的文章，如果不是找到這篇文章我可能還要繼續(xù)坑幾天，代碼也基本都是照著他的搬過來的，不過支付寶移動(dòng)支付文檔寫的非常糟糕而且沒有node的SDK和demo，寫起來異常痛苦..好在找到了這篇文章順便折騰了一下午支付寶的技術(shù)人員總算把移動(dòng)支付整個(gè)流程給做完了，所以就順便記錄一下自己遇到的坑，和對(duì)移動(dòng)支付整個(gè)流程的梳理。

支付寶給的流程圖還是很清晰的，其實(shí)基本流程就是

用戶向服務(wù)器請(qǐng)求一個(gè)付款
服務(wù)器生成一個(gè)帶簽名的訂單發(fā)送給客戶端
客戶端通過這個(gè)訂單向app sdk請(qǐng)求付款
sdk把用戶引入支付寶付款界面進(jìn)行支付
支付成功后支付寶向前端返回支付成功結(jié)果，并且向服務(wù)器發(fā)送一個(gè)支付通知
服務(wù)器接收通知并且驗(yàn)證是否是支付寶發(fā)送的成功結(jié)果

app客戶端需要做的很簡(jiǎn)單：

向自己的服務(wù)器請(qǐng)求一個(gè)訂單，
接收到訂單后，向支付寶sdk發(fā)情一個(gè)支付請(qǐng)求
交易結(jié)束后返回一個(gè)成功或者失敗

服務(wù)器做的事情稍微多一點(diǎn)（注意：服務(wù)端需要存放應(yīng)用的私鑰進(jìn)行簽名，還有支付寶的公鑰進(jìn)行驗(yàn)簽）：

1.接收到客戶端請(qǐng)求時(shí)候，生成一個(gè)帶簽名訂單返回給客戶端，中間的步奏有

1) 把相應(yīng)的配置數(shù)據(jù)生成一個(gè)數(shù)組，再把數(shù)組的數(shù)據(jù)生成一個(gè)有序的字符串

//將支付寶發(fā)來的數(shù)據(jù)生成有序數(shù)列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 將這組支付串進(jìn)行RSA-SHA1算法，得到的結(jié)果再與存在服務(wù)端的私鑰進(jìn)行簽名

//驗(yàn)簽
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 有序的字符串+得到的簽名+簽名方法就是生成的訂單，將這組訂單返回給客戶端

//發(fā)送訂單號(hào)
 sendAlipay: function(req, res) {
 var code = ""
 for(var i = 0; i < 4; i++) {
 code += Math.floor(Math.random() * 10);
 }
 //訂單號(hào)暫時(shí)由時(shí)間戳與四位隨機(jī)碼生成
 AlipayConfig.out_trade_no = Date.now().toString() + code;
 var myParam = getParams(AlipayConfig);
 var mySign = getSign(AlipayConfig)
 var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
 console.log(last)
 return res.send(last)
 }

2.前半段的工作就做完了，接下來如果前端支付成功，支付寶會(huì)向我們預(yù)留好的回調(diào)接口發(fā)送一個(gè)POST請(qǐng)求，讓我們驗(yàn)證用戶是否支付成功

1) 將支付寶發(fā)送過來的數(shù)據(jù)生成一個(gè)有序的字符串

//將支付寶發(fā)來的數(shù)據(jù)生成有序數(shù)列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 將獲取的數(shù)據(jù)進(jìn)行hash然后根據(jù)公鑰進(jìn)行對(duì)簽名的有效應(yīng)驗(yàn)證，返回true和false

//驗(yàn)簽
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 如果驗(yàn)簽成功再生成支付寶通知url，來驗(yàn)證是否是支付寶發(fā)來的通知（支付寶的驗(yàn)證一大堆，腦殼都痛了），如果有數(shù)據(jù)則說明確實(shí)是支付寶發(fā)來的通知，這次交易有效

//回調(diào)驗(yàn)簽
 getAlipay: function(req, res) {
 console.log(req.body)
 var params = req.body
 var mysign = veriySign(params);
 //驗(yàn)證支付寶簽名mysign為true表示簽名正確
 console.log(mysign)
 try {
 //驗(yàn)簽成功
 if(mysign) {
 if(params['notify_id']) {
 var partner = AlipayConfig.partner;
 //生成驗(yàn)證支付寶通知的url
 var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
 console.log('url:' + url)
 //驗(yàn)證是否是支付寶發(fā)來的通知
 https.get(url, function(text) {
 //有數(shù)據(jù)表示是由支付寶發(fā)來的通知
 if(text) {
 //交易成功
 console.log('success')
 } else {
 //交易失敗
 console.log('err')
 }
 })
 }
 }
 } catch(err) {
 console.log(err);
 }
 }

這樣整個(gè)流程就跑完了，代碼原博客都有，這里最多只是有些改成了sails的寫法，主要寫一下這次遇到的幾個(gè)坑和值得注意的幾個(gè)地方

1. 由于移動(dòng)支付的文檔描述不清楚，私鑰其實(shí)上上傳到賬戶信息的mapi網(wǎng)管產(chǎn)品密鑰里：