微信官方支付驗籤源碼分析

1.背景

隨着微信的迅速崛起，在互聯網支付的方式中，微信支付成了舉足輕重的一部分。作爲程序員，在朝着互聯網靠攏的途中，瞭解微信支付必不可少。此處，筆者分享一下微信官方對於微信回調通知返回的xml數據進行支付驗證簽名的處理。

2.源碼分析

1.官方地址：https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

2.源碼分析（註釋解釋）

/**
     * 判斷簽名是否正確
     *
     * @param xmlStr XML格式數據
     * @param key API密鑰
     * @return 簽名是否正確
     * @throws Exception
     */
 public static boolean isSignatureValid(String xmlStr, String key) throws Exception {
    //將xml格式數據轉化爲map格式   
    Map<String, String> data = xmlToMap(xmlStr);
        if (!data.containsKey(WXPayConstants.FIELD_SIGN) ) {
            //如果返回xml數據中不包含sign簽名標記數據，則直接返回false
            return false;
        }
        //獲取微信返回數據中的sign簽名數據
        String sign = data.get(WXPayConstants.FIELD_SIGN);
        //將data和key進行簽名組裝，與返回數據中的sign簽名數據對比
        return generateSignature(data, key).equals(sign);
    }

/**
     * 生成簽名
     *
     * @param data 待簽名數據
     * @param key API密鑰
     * @return 簽名
     */
    public static String generateSignature(final Map<String, String> data, String key) throws Exception {
        return generateSignature(data, key, SignType.MD5);
    }

 /**
     * 生成簽名. 注意，若含有sign_type字段，必須和signType參數保持一致。
     *
     * @param data 待簽名數據
     * @param key API密鑰
     * @param signType 簽名方式
     * @return 簽名
     */
    public static String generateSignature(final Map<String, String> data, String key, SignType signType) throws Exception {
        //通過keySet獲取所有的key集合
        Set<String> keySet = data.keySet();
        //將set轉化爲數組keyArray
        String[] keyArray = keySet.toArray(new String[keySet.size()]);
        //數組升序排序
        Arrays.sort(keyArray);
        //構建StringBuilder字符串變量
        StringBuilder sb = new StringBuilder();
        //for循環key數組
        for (String k : keyArray) {
            //（重點1）如果數組中包含sign，則繼續，不做字符串拼接操作
            if (k.equals(WXPayConstants.FIELD_SIGN)) {
                continue;
            }
             // 參數值爲空，則不參與簽名
            if (data.get(k).trim().length() > 0)
                //字符串拼接形式：key1=value1&key2=value2
                sb.append(k).append("=").append(data.get(k).trim()).append("&");
        }
        //（重點2）拼接密鑰，參數上傳的密鑰
        sb.append("key=").append(key);
        //如果簽名加密方式爲MD5，則將字符串所有的英文字符轉換爲大寫字母，再做MD5編碼，返回md5加密結果
        if (SignType.MD5.equals(signType)) {
            //（重點3）返回加密結果字符串
            return MD5(sb.toString()).toUpperCase();
        }
        //如果簽名加密方式爲HMACSHA256，則直接將字符串和key密鑰直接生成 HMACSHA256
        else if (SignType.HMACSHA256.equals(signType)) {
            //（重點3）返回加密結果字符串
            return HMACSHA256(sb.toString(), key);
        }
        //如果是其他加密方式，則報異常
        else {
            throw new Exception(String.format("Invalid sign_type: %s", signType));
        }
    }

3.回顧

思想：分析微信支付回調通知中的數據，將簽名sign過濾掉，替換成API支付密鑰，然後做字符串拼接，做MD5或HMACSHA256加密，返回加密結果字符串的一個逆向替換過程。再和微信數據中的sign簽名做對比。相同則，驗籤通過。否則，不通過。