1.背景
隨着微信的迅速崛起,在互聯網支付的方式中,微信支付成了舉足輕重的一部分。作爲程序員,在朝着互聯網靠攏的途中,瞭解微信支付必不可少。此處,筆者分享一下微信官方對於微信回調通知返回的xml數據進行支付驗證簽名的處理。
2.源碼分析
1.官方地址:https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip
2.源碼分析(註釋解釋)
/**
* 判斷簽名是否正確
*
* @param xmlStr XML格式數據
* @param key API密鑰
* @return 簽名是否正確
* @throws Exception
*/
public static boolean isSignatureValid(String xmlStr, String key) throws Exception {
//將xml格式數據轉化爲map格式
Map<String, String> data = xmlToMap(xmlStr);
if (!data.containsKey(WXPayConstants.FIELD_SIGN) ) {
//如果返回xml數據中不包含sign簽名標記數據,則直接返回false
return false;
}
//獲取微信返回數據中的sign簽名數據
String sign = data.get(WXPayConstants.FIELD_SIGN);
//將data和key進行簽名組裝,與返回數據中的sign簽名數據對比
return generateSignature(data, key).equals(sign);
}
/**
* 生成簽名
*
* @param data 待簽名數據
* @param key API密鑰
* @return 簽名
*/
public static String generateSignature(final Map<String, String> data, String key) throws Exception {
return generateSignature(data, key, SignType.MD5);
}
/**
* 生成簽名. 注意,若含有sign_type字段,必須和signType參數保持一致。
*
* @param data 待簽名數據
* @param key API密鑰
* @param signType 簽名方式
* @return 簽名
*/
public static String generateSignature(final Map<String, String> data, String key, SignType signType) throws Exception {
//通過keySet獲取所有的key集合
Set<String> keySet = data.keySet();
//將set轉化爲數組keyArray
String[] keyArray = keySet.toArray(new String[keySet.size()]);
//數組升序排序
Arrays.sort(keyArray);
//構建StringBuilder字符串變量
StringBuilder sb = new StringBuilder();
//for循環key數組
for (String k : keyArray) {
//(重點1)如果數組中包含sign,則繼續,不做字符串拼接操作
if (k.equals(WXPayConstants.FIELD_SIGN)) {
continue;
}
// 參數值爲空,則不參與簽名
if (data.get(k).trim().length() > 0)
//字符串拼接形式:key1=value1&key2=value2
sb.append(k).append("=").append(data.get(k).trim()).append("&");
}
//(重點2)拼接密鑰,參數上傳的密鑰
sb.append("key=").append(key);
//如果簽名加密方式爲MD5,則將字符串所有的英文字符轉換爲大寫字母,再做MD5編碼,返回md5加密結果
if (SignType.MD5.equals(signType)) {
//(重點3)返回加密結果字符串
return MD5(sb.toString()).toUpperCase();
}
//如果簽名加密方式爲HMACSHA256,則直接將字符串和key密鑰直接生成 HMACSHA256
else if (SignType.HMACSHA256.equals(signType)) {
//(重點3)返回加密結果字符串
return HMACSHA256(sb.toString(), key);
}
//如果是其他加密方式,則報異常
else {
throw new Exception(String.format("Invalid sign_type: %s", signType));
}
}
3.回顧
思想:分析微信支付回調通知中的數據,將簽名sign過濾掉,替換成API支付密鑰,然後做字符串拼接,做MD5或HMACSHA256加密,返回加密結果字符串的一個逆向替換過程。再和微信數據中的sign簽名做對比。相同則,驗籤通過。否則,不通過。