微信支付-Native下单API支付封装+签名流程解读

简介: 微信支付-Native下单API支付封装+签名流程解读

获取公钥-封装获取微信平台证书列表+解密得到微信公钥

pay.weixin.qq.com/wiki/doc/ap…

pay.weixin.qq.com/wiki/doc/ap…

解密证书列表拿到public key

//解密证书列表 解出CERTIFICATE以及public key
async decodeCertificates() {
  let result = await this.getCertificates();
  if (result.status != 200) {
    throw new Error('获取证书列表失败')
  }
  let certificates = typeof result.data == 'string' ? JSON.parse(result.data).data : result.data.data
  for (let cert of certificates) {
    let output = this.decode(cert.encrypt_certificate)
    cert.decrypt_certificate = output.toString()
    let beginIndex = cert.decrypt_certificate.indexOf('-\n')
    let endIndex = cert.decrypt_certificate.indexOf('\n-')
    let str = cert.decrypt_certificate.substring(beginIndex + 2, endIndex)
    // 生成X.509证书
    let x509Certificate = new x509.X509Certificate(Buffer.from(str, 'base64'));
    let public_key = Buffer.from(x509Certificate.publicKey.rawData).toString('base64')
    // 平台证书公钥
    cert.public_key = `-----BEGIN PUBLIC KEY-----\n` + public_key + `\n-----END PUBLIC KEY-----`
  }
  return this.certificates = certificates
}

其目的是从微信支付平台获取到商户证书列表,然后解析各个证书,并将关键信息存储到 certificates 数组中。

具体如下:

  1. 首先,在方法内部调用了当前对象上的 getCertificates() 方法,异步获取商户证书列表并将结果存储到变量 result 中。
  2. 然后,判断结果状态码是否等于 200,如果不等于则抛出异常,表示获取证书列表失败。
  3. 接着,从 result 中解析出证书列表 certificates
  4. 遍历证书列表 certificates,对于每一个证书,先将其加密字符串解密得到明文证书 decrypt_certificate,然后根据 X.509 标准生成 X.509 证书,并从中获取公钥,将其转换为 Base64 编码的形式,存储到该证书对象的 public_key 属性中。
  5. 最终将解析后的证书列表 certificates 存储到当前对象的 certificates 属性中,并返回该属性值。

具体解密证书的decode方法

    //解密
    decode(params) {
        const AUTH_KEY_LENGTH = 16;
        // ciphertext = 密文,associated_data = 填充内容, nonce = 位移
        const { ciphertext, associated_data, nonce } = params;
        // 密钥
        const key_bytes = Buffer.from(this.apiv3_private_key, 'utf8');
        // 位移
        const nonce_bytes = Buffer.from(nonce, 'utf8');
        // 填充内容
        const associated_data_bytes = Buffer.from(associated_data, 'utf8');
        // 密文Buffer
        const ciphertext_bytes = Buffer.from(ciphertext, 'base64');
        // 计算减去16位长度
        const cipherdata_length = ciphertext_bytes.length - AUTH_KEY_LENGTH;
        // upodata
        const cipherdata_bytes = ciphertext_bytes.slice(0, cipherdata_length);
        // tag
        const auth_tag_bytes = ciphertext_bytes.slice(cipherdata_length, ciphertext_bytes.length);
        const decipher = crypto.createDecipheriv(
            'aes-256-gcm', key_bytes, nonce_bytes
        );
        decipher.setAuthTag(auth_tag_bytes);
        decipher.setAAD(Buffer.from(associated_data_bytes));
        const output = Buffer.concat([
            decipher.update(cipherdata_bytes),
            decipher.final(),
        ]);
        return output;
    }

具体如下:

  1. 首先,该方法接受一个 params 对象,包含需要解密的密文 ciphertext、填充内容 associated_data 和位移 nonce
  2. 然后,从当前对象的 apiv3_private_key 属性中获取到密钥字符串 key_bytes
  3. 接着,将 nonceassociated_data 转换为 Buffer 类型的对象 nonce_bytesassociated_data_bytes
  4. ciphertext 转换成 base64 编码的 Buffer 类型的对象 ciphertext_bytes
  5. 根据算法规范,计算去掉认证信息长度的密文长度。
  6. 将密文截取得到明文部分 cipherdata_bytes 和认证部分 auth_tag_bytes
  7. 使用 Node.js 自带的 crypto 模块创建一个 Decipheriv 类实例,使用 aes-256-gcm 算法解密密文。同时设置认证标签和填充内容,用于验证密文的完整性和正确性。
  8. 最后调用 decipher.update() 方法将密文进行解密,返回解密后的 Buffer 类型的对象 output,并将其返回。

完整代码

const urllib = require('urllib');
const { KJUR, hextob64 } = require('jsrsasign')
const RandomTool = require('./RandomTool')
const crypto = require("crypto");
const x509 = require('@peculiar/x509');
class WxPayment {
    constructor({ appid, mchid, private_key, serial_no, apiv3_private_key, notify_url } = {}) {
        this.appid = appid; // 公众号appid
        this.mchid = mchid; // 商户号mchid
        this.private_key = private_key; // 商户私钥
        this.serial_no = serial_no; // 证书序列号,用于声明所使用的证书
        this.apiv3_private_key = apiv3_private_key; // APIv3密钥,解密平台证书
        this.notify_url = notify_url; // 回调地址
        this.requestUrls = {
            // pc端native下单API
            native: () => {
                return {
                    url: 'https://api.mch.weixin.qq.com/v3/pay/transactions/native',
                    method: 'POST',
                    pathname: '/v3/pay/transactions/native',
                }
            },
            // 获取平台证书url
            getCertificates: () => {
                return {
                    url: `https://api.mch.weixin.qq.com/v3/certificates`,
                    method: `GET`,
                    pathname: `/v3/certificates`,
                }
            },
            // 通过out_trade_no查询订单url配置
            getTransactionsByOutTradeNo: ({ pathParams }) => {
                return {
                    url: `https://api.mch.weixin.qq.com/v3/pay/transactions/out-trade-no/${pathParams.out_trade_no}?mchid=${this.mchid}`,
                    method: `GET`,
                    pathname: `/v3/pay/transactions/out-trade-no/${pathParams.out_trade_no}?mchid=${this.mchid}`,
                }
            },
        }
        // 初始化平台证书
        this.decodeCertificates()
    }
    // 通过商户订单号out_trade_no查询订单
    async getTransactionsByOutTradeNo(params) {
        return await this.wxSignRequest({ pathParams: params, type: 'getTransactionsByOutTradeNo' })
    }
    // 请求微信服务器签名封装
    async wxSignRequest({ pathParams, bodyParams, type }) {
        let { url, method, pathname } = this.requestUrls[type]({ pathParams })
        let timestamp = Math.floor(Date.now() / 1000) // 时间戳
        let onece_str = RandomTool.randomString(32);  // 随机串 
        let bodyParamsStr = bodyParams && Object.keys(bodyParams).length ? JSON.stringify(bodyParams) : '' // 请求报文主体
        let signature = this.rsaSign(`${method}\n${pathname}\n${timestamp}\n${onece_str}\n${bodyParamsStr}\n`, this.private_key, 'SHA256withRSA')
        // 请求头传递签名
        let Authorization = `WECHATPAY2-SHA256-RSA2048 mchid="${this.mchid}",nonce_str="${onece_str}",timestamp="${timestamp}",signature="${signature}",serial_no="${this.serial_no}"`
        // 接口请求
        let { status, data } = await urllib.request(url, {
            method: method,
            dataType: 'text',
            data: method == 'GET' ? '' : bodyParams,
            timeout: [10000, 15000],
            headers: {
                'Content-Type': 'application/json',
                'Accept': 'application/json',
                'Authorization': Authorization
            },
        })
        return { status, data }
    }
    //native统一下单
    async native(params) {
        let bodyParams = {
            ...params,
            appid: this.appid,
            mchid: this.mchid,
            notify_url: this.notify_url,
        }
        return await this.wxSignRequest({ bodyParams, type: 'native' })
    }
    // 获取平台证书
    async getCertificates() {
        return await this.wxSignRequest({ type: 'getCertificates' })
    }
    /**
     * rsa签名
     * @param content 签名内容
     * @param privateKey 私钥,PKCS#1
     * @param hash hash算法,SHA256withRSA
     * @returns 返回签名字符串,base64
     */
    rsaSign(content, privateKey, hash = 'SHA256withRSA') {
        // 创建 Signature 对象
        const signature = new KJUR.crypto.Signature({
            alg: hash,
            // 私钥
            prvkeypem: privateKey
        })
        // 传入待加密字符串
        signature.updateString(content)
        // 生成密文
        const signData = signature.sign()
        // 将内容转成base64
        return hextob64(signData)
    }
    //验证签名 timestamp,nonce,serial,signature均在HTTP头中获取,body为请求参数
    async verifySign({ timestamp, nonce, serial, body, signature }) {
        // 拼接参数
        let data = `${timestamp}\n${nonce}\n${typeof body == 'string' ? body : JSON.stringify(body)}\n`;
        // 用crypto模块解密
        let verify = crypto.createVerify('RSA-SHA256');
        // 添加摘要内容
        verify.update(Buffer.from(data));
        // 从初始化的平台证书中获取公钥
        for (let cert of this.certificates) {
            if (cert.serial_no == serial) {
                return verify.verify(cert.public_key, signature, 'base64');
            } else {
                throw new Error('平台证书序列号不相符')
            }
        }
    }
    //解密证书列表 解出CERTIFICATE以及public key
    async decodeCertificates() {
        let result = await this.getCertificates();
        if (result.status != 200) {
            throw new Error('获取证书列表失败')
        }
        let certificates = typeof result.data == 'string' ? JSON.parse(result.data).data : result.data.data
        for (let cert of certificates) {
            let output = this.decode(cert.encrypt_certificate)
            cert.decrypt_certificate = output.toString()
            let beginIndex = cert.decrypt_certificate.indexOf('-\n')
            let endIndex = cert.decrypt_certificate.indexOf('\n-')
            let str = cert.decrypt_certificate.substring(beginIndex + 2, endIndex)
            // 生成X.509证书
            let x509Certificate = new x509.X509Certificate(Buffer.from(str, 'base64'));
            let public_key = Buffer.from(x509Certificate.publicKey.rawData).toString('base64')
            // 平台证书公钥
            cert.public_key = `-----BEGIN PUBLIC KEY-----\n` + public_key + `\n-----END PUBLIC KEY-----`
        }
        return this.certificates = certificates
    }
    //解密
    decode(params) {
        const AUTH_KEY_LENGTH = 16;
        // ciphertext = 密文,associated_data = 填充内容, nonce = 位移
        const { ciphertext, associated_data, nonce } = params;
        // 密钥
        const key_bytes = Buffer.from(this.apiv3_private_key, 'utf8');
        // 位移
        const nonce_bytes = Buffer.from(nonce, 'utf8');
        // 填充内容
        const associated_data_bytes = Buffer.from(associated_data, 'utf8');
        // 密文Buffer
        const ciphertext_bytes = Buffer.from(ciphertext, 'base64');
        // 计算减去16位长度
        const cipherdata_length = ciphertext_bytes.length - AUTH_KEY_LENGTH;
        // upodata
        const cipherdata_bytes = ciphertext_bytes.slice(0, cipherdata_length);
        // tag
        const auth_tag_bytes = ciphertext_bytes.slice(cipherdata_length, ciphertext_bytes.length);
        const decipher = crypto.createDecipheriv(
            'aes-256-gcm', key_bytes, nonce_bytes
        );
        decipher.setAuthTag(auth_tag_bytes);
        decipher.setAAD(Buffer.from(associated_data_bytes));
        const output = Buffer.concat([
            decipher.update(cipherdata_bytes),
            decipher.final(),
        ]);
        return output;
    }
}
module.exports = WxPayment;

代码逻辑:

实例化时调用this.decodeCertificates() 初始化证书,接着调用getCertificates请求平台证书。然后便利平台证书进行解密拿到平台证书公钥。

封装验证微信发起的签名+解密数据得到用户订单信息

开发回调地址接口对应的逻辑

Service

callback: async (req) => {
  let timestamp = req.header('Wechatpay-Timestamp')
  let nonce = req.header('Wechatpay-Nonce')
  let serial = req.header('Wechatpay-Serial')
  let signature = req.header('Wechatpay-Signature')
  let body = req.body
  // 1.校验收到的请求是否微信服务器发起
  let result = await payment.verifySign({
    timestamp: timestamp,
    nonce: nonce,
    serial: serial,
    signature: signature,
    body: body
  })
  if (!result) {
    return
  }
  // 2.解密body中的resource数据,拿到用户订单信息
  let bufferOne = payment.decode(body.resource)
  let json = JSON.parse(bufferOne.toString('utf8'))
  console.log(json)
  return BackCode.buildSuccess()
},

验证签名

    //验证签名 timestamp,nonce,serial,signature均在HTTP头中获取,body为请求参数
    async verifySign({ timestamp, nonce, serial, body, signature }) {
        // 拼接参数
        let data = `${timestamp}\n${nonce}\n${typeof body == 'string' ? body : JSON.stringify(body)}\n`;
        // 用crypto模块解密
        let verify = crypto.createVerify('RSA-SHA256');
        // 添加摘要内容
        verify.update(Buffer.from(data));
        // 从初始化的平台证书中获取公钥
        for (let cert of this.certificates) {
            if (cert.serial_no == serial) {
                return verify.verify(cert.public_key, signature, 'base64');
            } else {
                throw new Error('平台证书序列号不相符')
            }
        }
    }
  1. 该方法接收一个参数对象,包括时间戳 timestamp、随机字符串 nonce、平台证书序列号 serial、请求体 body 和签名 signature
  2. timestampnoncebody 拼接成一个字符串 data,使用 \n 进行分隔符,其中需要注意将 body 转换为字符串形式。
  3. 使用 Node.js 自带的 crypto 模块创建一个 Verify 类实例,使用 RSA-SHA256 签名算法进行签名验证。
  4. data 进行摘要计算,在计算中添加需要验证的数据。
  5. 通过遍历初始化时传入的 certificates 数组,查找到与 serial 相对应的平台证书 cert
  6. 如果找到了相应的证书,则使用 verify.verify() 方法进行签名验证,传入公钥 cert.public_key、签名 signature 和编码方式 base64,返回验证结果。
  7. 如果未找到相应的平台证书,则抛出错误提示平台证书序列号不相符。

需要注意的是,该方法使用 RSA-SHA256 算法进行签名验证,同时还需要从初始化传入的平台证书数组 certificates 中获取证书公钥进行验证,以确保请求的合法性。

查询订单⽀付状态逻辑封装+快速验证

pay.weixin.qq.com/wiki/doc/ap…

商户订单号查询
  • 查询订单逻辑封装
//通过out_trade_no查询订单
async getTransactionsByOutTradeNo(params) {
  return await this.wxSignRequest({ pathParams: params, type: 'getTransactionsByOutTradeNo' })
}

验证订单状态查询

const { payment } = require('./config/wechatPay');
(async () => {
    let wechatOrder = await payment.getTransactionsByOutTradeNo({ out_trade_no: '123456789wqjeqjwdiqhdhqd' })
    console.log(wechatOrder.data)
})()

传入商户订单号,和直连商户号mchid 使用 wxSignRequest进行请求。

目录
相关文章
|
23天前
|
缓存 测试技术 API
API的封装步骤流程
API封装流程是一个系统化的过程,旨在将内部功能转化为可复用的接口供外部调用。流程包括明确需求、设计接口、选择技术和工具、编写代码、测试、文档编写及部署维护。具体步骤为确定业务功能、数据来源;设计URL、请求方式、参数及响应格式;选择开发语言、框架和数据库技术;实现数据连接、业务逻辑、错误处理;进行功能、性能测试;编写详细文档;部署并持续维护。通过这些步骤,确保API稳定可靠,提高性能。
|
2月前
|
Java API Spring
打造未来电商新引擎:揭秘Java可扩展API设计,让支付与物流灵活如丝,引领电商时代潮流!
【8月更文挑战第30天】本文通过电商平台案例,探讨了如何设计可扩展的Java API。首先定义支付和物流服务的接口与抽象类,然后实现具体服务,接着引入工厂模式或依赖注入管理服务实例,最后通过配置实现灵活扩展。这种设计确保了应用架构的灵活性和长期稳定性。
47 3
|
2月前
|
缓存 前端开发 中间件
[go 面试] 前端请求到后端API的中间件流程解析
[go 面试] 前端请求到后端API的中间件流程解析
|
23小时前
|
JSON JavaScript API
商品详情数据接口解析返回的JSON数据(API接口整套流程)
商品详情数据接口解析返回的JSON数据是API接口使用中的一个重要环节,它涉及从发送请求到接收并处理响应的整个流程。以下是一个完整的API接口使用流程,包括如何解析返回的JSON数据:
|
14天前
|
小程序 前端开发 API
微信小程序 - 调用微信 API 回调函数内拿不到 this 问题(解决方案)
本文讨论了在微信小程序中调用API回调函数时无法获取到`this`上下文的问题,并提供了解决方案。在回调函数中,使用一个变量(如`that`)来保存当前的`this`引用,然后在回调内部使用这个变量来访问当前页面的数据和方法。
|
2月前
|
小程序 数据安全/隐私保护
Taro@3.x+Vue@3.x+TS开发微信小程序,网络请求封装
在 `src/http` 目录下创建 `request.ts` 文件,并配置 Taro 的网络请求方法 `Taro.request`,支持多种 HTTP 方法并处理数据加密。
Taro@3.x+Vue@3.x+TS开发微信小程序,网络请求封装
|
2月前
|
小程序
手写签名-微信小程序
手写签名-微信小程序
46 1
|
2月前
|
Java 数据库连接 缓存
Hibernate性能调优:五大秘籍,让应用效能飙升,告别慢如蜗牛的加载,体验丝滑般流畅!
【8月更文挑战第31天】本文深入探讨了提升Hibernate应用性能的五大技巧,包括选择合适的缓存策略、优化查询语句、合理使用Eager与Lazy加载、批量操作与事务管理以及利用索引和数据库优化。通过正确配置多级缓存、分页查询、延迟加载、批量处理及合理创建索引,能够显著提高应用响应速度与吞吐量,改善用户体验。这些技巧需根据具体应用场景灵活调整,以实现最佳性能优化效果。
79 0
|
2月前
|
监控 测试技术 API
|
2月前
|
UED 开发工具 iOS开发
Uno Platform大揭秘:如何在你的跨平台应用中,巧妙融入第三方库与服务,一键解锁无限可能,让应用功能飙升,用户体验爆棚!
【8月更文挑战第31天】Uno Platform 让开发者能用同一代码库打造 Windows、iOS、Android、macOS 甚至 Web 的多彩应用。本文介绍如何在 Uno Platform 中集成第三方库和服务,如 Mapbox 或 Google Maps 的 .NET SDK,以增强应用功能并提升用户体验。通过 NuGet 安装所需库,并在 XAML 页面中添加相应控件,即可实现地图等功能。尽管 Uno 平台减少了平台差异,但仍需关注版本兼容性和性能问题,确保应用在多平台上表现一致。掌握正确方法,让跨平台应用更出色。
38 0