非常感謝 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo 的文章,如果不是找到這篇文章我可能還要繼續(xù)坑幾天,代碼也基本都是照著他的搬過(guò)來(lái)的,不過(guò)支付寶移動(dòng)支付文檔寫的非常糟糕而且沒(méi)有node的SDK和demo,寫起來(lái)異常痛苦..好在找到了這篇文章順便折騰了一下午支付寶的技術(shù)人員總算把移動(dòng)支付整個(gè)流程給做完了,所以就順便記錄一下自己遇到的坑,和對(duì)移動(dòng)支付整個(gè)流程的梳理。
支付寶給的流程圖還是很清晰的,其實(shí)基本流程就是
app客戶端需要做的很簡(jiǎn)單:
服務(wù)器做的事情稍微多一點(diǎn)(注意:服務(wù)端需要存放應(yīng)用的私鑰進(jìn)行簽名,還有支付寶的公鑰進(jìn)行驗(yàn)簽):
1.接收到客戶端請(qǐng)求時(shí)候,生成一個(gè)帶簽名訂單返回給客戶端,中間的步奏有
1) 把相應(yīng)的配置數(shù)據(jù)生成一個(gè)數(shù)組,再把數(shù)組的數(shù)據(jù)生成一個(gè)有序的字符串
//將支付寶發(fā)來(lái)的數(shù)據(jù)生成有序數(shù)列function getVerifyParams(params) { var sPara = []; if(!params) return null; for(var key in params) { if((!params[key]) || key == "sign" || key == "sign_type") { continue; }; sPara.push([key, params[key]]); } sPara = sPara.sort(); var prestr = ''; for(var i2 = 0; i2 < sPara.length; i2++) { var obj = sPara[i2]; if(i2 == sPara.length - 1) { prestr = prestr + obj[0] + '=' + obj[1] + ''; } else { prestr = prestr + obj[0] + '=' + obj[1] + '&'; } } return prestr;}2) 將這組支付串進(jìn)行RSA-SHA1算法,得到的結(jié)果再與存在服務(wù)端的私鑰進(jìn)行簽名
//驗(yàn)簽function veriySign(params) { try { var publicPem = fs.readFileSync('./rsa_public_key.pem'); var publicKey = publicPem.toString(); var prestr = getVerifyParams(params); var sign = params['sign'] ? params['sign'] : ""; var verify = crypto.createVerify('RSA-SHA1'); verify.update(prestr); return verify.verify(publicKey, sign, 'base64') } catch(err) { console.log('veriSign err', err) }}3) 有序的字符串+得到的簽名+簽名方法就是生成的訂單,將這組訂單返回給客戶端
//發(fā)送訂單號(hào) sendAlipay: function(req, res) { var code = "" for(var i = 0; i < 4; i++) { code += Math.floor(Math.random() * 10); } //訂單號(hào)暫時(shí)由時(shí)間戳與四位隨機(jī)碼生成 AlipayConfig.out_trade_no = Date.now().toString() + code; var myParam = getParams(AlipayConfig); var mySign = getSign(AlipayConfig) var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"'; console.log(last) return res.send(last) }2.前半段的工作就做完了,接下來(lái)如果前端支付成功,支付寶會(huì)向我們預(yù)留好的回調(diào)接口發(fā)送一個(gè)POST請(qǐng)求,讓我們驗(yàn)證用戶是否支付成功
1) 將支付寶發(fā)送過(guò)來(lái)的數(shù)據(jù)生成一個(gè)有序的字符串
//將支付寶發(fā)來(lái)的數(shù)據(jù)生成有序數(shù)列function getVerifyParams(params) { var sPara = []; if(!params) return null; for(var key in params) { if((!params[key]) || key == "sign" || key == "sign_type") { continue; }; sPara.push([key, params[key]]); } sPara = sPara.sort(); var prestr = ''; for(var i2 = 0; i2 < sPara.length; i2++) { var obj = sPara[i2]; if(i2 == sPara.length - 1) { prestr = prestr + obj[0] + '=' + obj[1] + ''; } else { prestr = prestr + obj[0] + '=' + obj[1] + '&'; } } return prestr;}2) 將獲取的數(shù)據(jù)進(jìn)行hash然后根據(jù)公鑰進(jìn)行對(duì)簽名的有效應(yīng)驗(yàn)證,返回true和false
//驗(yàn)簽function veriySign(params) { try { var publicPem = fs.readFileSync('./rsa_public_key.pem'); var publicKey = publicPem.toString(); var prestr = getVerifyParams(params); var sign = params['sign'] ? params['sign'] : ""; var verify = crypto.createVerify('RSA-SHA1'); verify.update(prestr); return verify.verify(publicKey, sign, 'base64') } catch(err) { console.log('veriSign err', err) }}3) 如果驗(yàn)簽成功再生成支付寶通知url,來(lái)驗(yàn)證是否是支付寶發(fā)來(lái)的通知(支付寶的驗(yàn)證一大堆,腦殼都痛了),如果有數(shù)據(jù)則說(shuō)明確實(shí)是支付寶發(fā)來(lái)的通知,這次交易有效
//回調(diào)驗(yàn)簽 getAlipay: function(req, res) { console.log(req.body) var params = req.body var mysign = veriySign(params); //驗(yàn)證支付寶簽名mysign為true表示簽名正確 console.log(mysign) try { //驗(yàn)簽成功 if(mysign) { if(params['notify_id']) { var partner = AlipayConfig.partner; //生成驗(yàn)證支付寶通知的url var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '¬ify_id=' + params['notify_id']; console.log('url:' + url) //驗(yàn)證是否是支付寶發(fā)來(lái)的通知 https.get(url, function(text) { //有數(shù)據(jù)表示是由支付寶發(fā)來(lái)的通知 if(text) { //交易成功 console.log('success') } else { //交易失敗 console.log('err') } }) } } } catch(err) { console.log(err); } }這樣整個(gè)流程就跑完了,代碼原博客都有,這里最多只是有些改成了sails的寫法,主要寫一下這次遇到的幾個(gè)坑和值得注意的幾個(gè)地方
1. 由于移動(dòng)支付的文檔描述不清楚,私鑰其實(shí)上上傳到賬戶信息的mapi網(wǎng)管產(chǎn)品密鑰里:
而不是上傳到應(yīng)用的密鑰里
2. 移動(dòng)支付只支持RSA(SHA1)
3. ./是在sails里獲取的到根目錄下的密鑰(有點(diǎn)搞不懂sails的這個(gè)路徑)
4. 生成訂單時(shí)候的有序字符串格式是body="測(cè)試" ,有雙引號(hào),但是驗(yàn)簽生成的有序字符串里不能有雙引號(hào)
以上就是本文的全部?jī)?nèi)容,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作能帶來(lái)一定的幫助,同時(shí)也希望多多支持武林網(wǎng)!
新聞熱點(diǎn)
疑難解答
圖片精選
網(wǎng)友關(guān)注
