詳解NodeJs支付寶移動支付簽名及驗簽

更新時間：2017年01月06日 08:35:29 作者：浩浩浩浩浩浩蕩

本文主要介紹了NodeJs支付寶移動支付簽名及驗簽的方法，具有一定的參考價值，下面跟著小編一起來看下吧

非常感謝：http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo 的文章，如果不是找到這篇文章我可能還要繼續(xù)坑幾天，代碼也基本都是照著他的搬過來的，不過支付寶移動支付文檔寫的非常糟糕而且沒有node的SDK和demo，寫起來異常痛苦..好在找到了這篇文章順便折騰了一下午支付寶的技術人員總算把移動支付整個流程給做完了，所以就順便記錄一下自己遇到的坑，和對移動支付整個流程的梳理。

支付寶給的流程圖還是很清晰的，其實基本流程就是

用戶向服務器請求一個付款
服務器生成一個帶簽名的訂單發(fā)送給客戶端
客戶端通過這個訂單向app sdk請求付款
sdk把用戶引入支付寶付款界面進行支付
支付成功后支付寶向前端返回支付成功結果，并且向服務器發(fā)送一個支付通知
服務器接收通知并且驗證是否是支付寶發(fā)送的成功結果

app客戶端需要做的很簡單：

向自己的服務器請求一個訂單，
接收到訂單后，向支付寶sdk發(fā)情一個支付請求
交易結束后返回一個成功或者失敗

服務器做的事情稍微多一點（注意：服務端需要存放應用的私鑰進行簽名，還有支付寶的公鑰進行驗簽）：

1.接收到客戶端請求時候，生成一個帶簽名訂單返回給客戶端，中間的步奏有

1) 把相應的配置數(shù)據(jù)生成一個數(shù)組，再把數(shù)組的數(shù)據(jù)生成一個有序的字符串

//將支付寶發(fā)來的數(shù)據(jù)生成有序數(shù)列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 將這組支付串進行RSA-SHA1算法，得到的結果再與存在服務端的私鑰進行簽名

//驗簽
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 有序的字符串+得到的簽名+簽名方法就是生成的訂單，將這組訂單返回給客戶端

//發(fā)送訂單號
 sendAlipay: function(req, res) {
 var code = ""
 for(var i = 0; i < 4; i++) {
 code += Math.floor(Math.random() * 10);
 }
 //訂單號暫時由時間戳與四位隨機碼生成
 AlipayConfig.out_trade_no = Date.now().toString() + code;
 var myParam = getParams(AlipayConfig);
 var mySign = getSign(AlipayConfig)
 var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
 console.log(last)
 return res.send(last)
 }

2.前半段的工作就做完了，接下來如果前端支付成功，支付寶會向我們預留好的回調接口發(fā)送一個POST請求，讓我們驗證用戶是否支付成功

1) 將支付寶發(fā)送過來的數(shù)據(jù)生成一個有序的字符串

//將支付寶發(fā)來的數(shù)據(jù)生成有序數(shù)列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 將獲取的數(shù)據(jù)進行hash然后根據(jù)公鑰進行對簽名的有效應驗證，返回true和false

//驗簽
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 如果驗簽成功再生成支付寶通知url，來驗證是否是支付寶發(fā)來的通知（支付寶的驗證一大堆，腦殼都痛了），如果有數(shù)據(jù)則說明確實是支付寶發(fā)來的通知，這次交易有效

//回調驗簽
 getAlipay: function(req, res) {
 console.log(req.body)
 var params = req.body
 var mysign = veriySign(params);
 //驗證支付寶簽名mysign為true表示簽名正確
 console.log(mysign)
 try {
 //驗簽成功
 if(mysign) {
 if(params['notify_id']) {
 var partner = AlipayConfig.partner;
 //生成驗證支付寶通知的url
 var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
 console.log('url:' + url)
 //驗證是否是支付寶發(fā)來的通知
 https.get(url, function(text) {
 //有數(shù)據(jù)表示是由支付寶發(fā)來的通知
 if(text) {
 //交易成功
 console.log('success')
 } else {
 //交易失敗
 console.log('err')
 }
 })
 }
 }
 } catch(err) {
 console.log(err);
 }
 }

這樣整個流程就跑完了，代碼原博客都有，這里最多只是有些改成了sails的寫法，主要寫一下這次遇到的幾個坑和值得注意的幾個地方

1. 由于移動支付的文檔描述不清楚，私鑰其實上上傳到賬戶信息的mapi網(wǎng)管產(chǎn)品密鑰里：