詳解Java中的微信支付（1）：API V3版本簽名

##java基礎教學 ##專欄介紹Java中的微信支付，實作API V3版本簽名。

#1、前言

最近在折騰微信支付，證書還是比較煩人的，所以有必要分享一些經驗，減少你在開發微信支付時的踩坑。目前微信支付的API已經發展到

V3

版本，採用了流行的寧靜風格。

今天來分享微支付信的難點－

簽名

#，雖然有很多好用的SDK但是如果你想深入了解微信支付還是需要了解一下的。2. API憑證

為了確保資金敏感資料的安全性，確保我們業務中的資金往來交易萬無一失。目前微信支付第三方簽發的權威CA憑證（API憑證）中提供的

私鑰

來進行簽名。您可以透過商家平台設定並取得API憑證。

記得在第一次設定的時候會提示下載，後面就不再提供下載了，參考具體說明。

#設定後找到

zip

壓縮很多包解壓，裡面有文件，適合JAVA開發話說只需要關注apiclient_cert.p12這個憑證檔案就行了，它包含了公私金鑰，我們需要把它放在服務端並利用Java解析.p12檔案取得公鑰私鑰。

務必保證伺服器端的安全，它涉及到資金安全

。

解析API憑證

接下來就是憑證的解析了，憑證的解析有網路上很多方法，這裡我使用比較「正規」的方法來解析，利用JDK安全包的java.security.KeyStore來解析。

微信支付API憑證使用了PKCS12演算法，我們透過KeyStore來取得公私鑰對的載體KeyPair以及憑證序號serialNumber，我封裝了工具類：

import org.springframework.core.io.ClassPathResource;import java.security.KeyPair;import java.security.KeyStore;import java.security.PrivateKey;import java.security.PublicKey;import java.security.cert.X509Certificate;/**
 * KeyPairFactory
 *
 * @author dax
 * @since 13:41
 **/public class KeyPairFactory {    private KeyStore store;    private final Object lock = new Object();    /**
     * 获取公私钥.
     *
     * @param keyPath  the key path
     * @param keyAlias the key alias
     * @param keyPass  password
     * @return the key pair
     */
    public KeyPair createPKCS12(String keyPath, String keyAlias, String keyPass) {
        ClassPathResource resource = new ClassPathResource(keyPath);        char[] pem = keyPass.toCharArray();        try {            synchronized (lock) {                if (store == null) {                    synchronized (lock) {
                        store = KeyStore.getInstance("PKCS12");
                        store.load(resource.getInputStream(), pem);
                    }
                }
            }
            X509Certificate certificate = (X509Certificate) store.getCertificate(keyAlias);
            certificate.checkValidity();            // 证书的序列号 也有用
            String serialNumber = certificate.getSerialNumber().toString(16).toUpperCase();            // 证书的 公钥
            PublicKey publicKey = certificate.getPublicKey();            // 证书的私钥
            PrivateKey storeKey = (PrivateKey) store.getKey(keyAlias, pem);    
            return new KeyPair(publicKey, storeKey);

        } catch (Exception e) {            throw new IllegalStateException("Cannot load keys from store: " + resource, e);
        }
    }
}复制代码

眼熟的可以看出是胖哥Spring Security教程中JWT用的公私鑰提取方法的修改版本，你可以對比不同之處。

這個方法有三個參數，這裡必須先說明一下：

• keyPath  API憑證apiclient_cert.p12的classpath路徑,一般我們會放在resources路徑下，當然你可以修改取得憑證輸入流的方式。
• keyAlias 憑證的別名，這個微信的文檔是沒有的，胖哥透過載入憑證時進行DEBUG取得到該值固定為Tenpay Certificate 。
• keyPass  憑證密碼，這個預設就是商家號，在其它配置中也需要使用就是mchid，就是你用超級管理員登入微信商家平台在個人資料中的一串數字。

3. V3簽章

微信支付V3版本的簽章是我們在呼叫特定的微信支付的API時在HTTP請求頭中攜帶特定的編碼串供微信支付伺服器進行驗證請求來源，確保請求是真實可信的。

簽章格式

簽章串的具體格式，一共五行一行也不能少，每一行以換行符\n結束。

HTTP请求方法\n
URL\n
请求时间戳\n
请求随机串\n
请求报文主体\n复制代码

• HTTP請求方法  你呼叫的微信支付API所要求的請求方法，例如APP支付為POST。
• URL  例如APP付款文件中為https://api.mch.weixin.qq.com/v3/pay/transactions/app，除去網域名稱部分得到參與簽名的URL。如果請求中有查詢參數，URL末尾應附加有'?'和對應的查詢字串。這裡為/v3/pay/transactions/app。
• 請求時間戳 伺服器系統時間戳，保證伺服器時間正確並利用System.currentTimeMillis() / 1000取得即可。
• 要求隨機字串  找個工具類別產生類似593BEC0C930BF1AFEB40B4A08C8FB242的字串就行了。
• 請求封包主體  如果是GET請求直接為空白字元"" ；當請求方法為POST或PUT時，請使用真實傳送的JSON封包。圖片上傳API，請使用meta對應的JSON封包。

產生簽章

然後我們使用商家私鑰對依照上面格式的待簽章字串進行SHA256 with RSA簽名，並對簽章結果進行Base64編碼得到簽章值。對應的核心Java程式碼為：

/**
 * V3  SHA256withRSA 签名.
 *
 * @param method       请求方法  GET  POST PUT DELETE 等
 * @param canonicalUrl 例如  https://api.mch.weixin.qq.com/v3/pay/transactions/app?version=1 ——> /v3/pay/transactions/app?version=1
 * @param timestamp    当前时间戳   因为要配置到TOKEN 中所以 签名中的要跟TOKEN 保持一致
 * @param nonceStr     随机字符串  要和TOKEN中的保持一致
 * @param body         请求体 GET 为 "" POST 为JSON
 * @param keyPair      商户API 证书解析的密钥对  实际使用的是其中的私钥
 * @return the string
 */@SneakyThrowsString sign(String method, String canonicalUrl, long timestamp, String nonceStr, String body, KeyPair keyPair)  {
    String signatureStr = Stream.of(method, canonicalUrl, String.valueOf(timestamp), nonceStr, body)
            .collect(Collectors.joining("\n", "", "\n"));
    Signature sign = Signature.getInstance("SHA256withRSA");
    sign.initSign(keyPair.getPrivate());
    sign.update(signatureStr.getBytes(StandardCharsets.UTF_8));    return Base64Utils.encodeToString(sign.sign());
}复制代码

4. 使用簽章

簽章產生後會同一些參數組成一個Token放置到對應HTTP請求的Authorization請求頭中，格式為：

Authorization: WECHATPAY2-SHA256-RSA2048 {Token}复制代码

Token由以下五個部分組成：

• 發起請求的商家（包括直連商家、服務商或頻道商）的商家號碼mchid

• #商家API憑證序號serial_no，用於宣告所使用的憑證

• 請求隨機字串nonce_str

• #時間戳記timestamp

• #timestamp

簽名值

signature

Token

產生的核心程式碼：

/**
 * 生成Token.
 *
 * @param mchId 商户号
 * @param nonceStr   随机字符串 
 * @param timestamp  时间戳
 * @param serialNo   证书序列号
 * @param signature  签名
 * @return the string
 */String token(String mchId, String nonceStr, long timestamp, String serialNo, String signature) {    final String TOKEN_PATTERN = "mchid=\"%s\",nonce_str=\"%s\",timestamp=\"%d\",serial_no=\"%s\",signature=\"%s\"";    // 生成token
    return String.format(TOKEN_PATTERN,
            wechatPayProperties.getMchId(),
            nonceStr, timestamp, serialNo, signature);
}复制代码

將產生的

Token

依照上述格式放入請求頭中即可完成簽名的使用。

5. 總結本文我們對微信支付V3版本的難點簽名以及簽名的使用進行了完整的分析，同時對API證書的解析也進行了講解，相信能夠幫助你在支付開發中解決一些具體的問題。

相關免費學習推薦：java基礎教學

相關文章介紹：###如何實作小程式支付功能######### ####

以上是詳解Java中的微信支付（1）：API V3版本簽名的詳細內容。更多資訊請關注PHP中文網其他相關文章！