获取公钥-封装获取微信平台证书列表+解密得到微信公钥
pay.weixin.qq.com/wiki/doc/ap…
pay.weixin.qq.com/wiki/doc/ap…
解密证书列表拿到public key
//解密证书列表 解出CERTIFICATE以及public key async decodeCertificates() { let result = await this.getCertificates(); if (result.status != 200) { throw new Error('获取证书列表失败') } let certificates = typeof result.data == 'string' ? JSON.parse(result.data).data : result.data.data for (let cert of certificates) { let output = this.decode(cert.encrypt_certificate) cert.decrypt_certificate = output.toString() let beginIndex = cert.decrypt_certificate.indexOf('-\n') let endIndex = cert.decrypt_certificate.indexOf('\n-') let str = cert.decrypt_certificate.substring(beginIndex + 2, endIndex) // 生成X.509证书 let x509Certificate = new x509.X509Certificate(Buffer.from(str, 'base64')); let public_key = Buffer.from(x509Certificate.publicKey.rawData).toString('base64') // 平台证书公钥 cert.public_key = `-----BEGIN PUBLIC KEY-----\n` + public_key + `\n-----END PUBLIC KEY-----` } return this.certificates = certificates }
其目的是从微信支付平台获取到商户证书列表,然后解析各个证书,并将关键信息存储到 certificates 数组中。
具体如下:
- 首先,在方法内部调用了当前对象上的
getCertificates()方法,异步获取商户证书列表并将结果存储到变量result中。 - 然后,判断结果状态码是否等于 200,如果不等于则抛出异常,表示获取证书列表失败。
- 接着,从
result中解析出证书列表certificates。 - 遍历证书列表
certificates,对于每一个证书,先将其加密字符串解密得到明文证书decrypt_certificate,然后根据 X.509 标准生成 X.509 证书,并从中获取公钥,将其转换为 Base64 编码的形式,存储到该证书对象的public_key属性中。 - 最终将解析后的证书列表
certificates存储到当前对象的certificates属性中,并返回该属性值。
具体解密证书的decode方法
//解密 decode(params) { const AUTH_KEY_LENGTH = 16; // ciphertext = 密文,associated_data = 填充内容, nonce = 位移 const { ciphertext, associated_data, nonce } = params; // 密钥 const key_bytes = Buffer.from(this.apiv3_private_key, 'utf8'); // 位移 const nonce_bytes = Buffer.from(nonce, 'utf8'); // 填充内容 const associated_data_bytes = Buffer.from(associated_data, 'utf8'); // 密文Buffer const ciphertext_bytes = Buffer.from(ciphertext, 'base64'); // 计算减去16位长度 const cipherdata_length = ciphertext_bytes.length - AUTH_KEY_LENGTH; // upodata const cipherdata_bytes = ciphertext_bytes.slice(0, cipherdata_length); // tag const auth_tag_bytes = ciphertext_bytes.slice(cipherdata_length, ciphertext_bytes.length); const decipher = crypto.createDecipheriv( 'aes-256-gcm', key_bytes, nonce_bytes ); decipher.setAuthTag(auth_tag_bytes); decipher.setAAD(Buffer.from(associated_data_bytes)); const output = Buffer.concat([ decipher.update(cipherdata_bytes), decipher.final(), ]); return output; }
具体如下:
- 首先,该方法接受一个
params对象,包含需要解密的密文ciphertext、填充内容associated_data和位移nonce。 - 然后,从当前对象的
apiv3_private_key属性中获取到密钥字符串key_bytes。 - 接着,将
nonce和associated_data转换为 Buffer 类型的对象nonce_bytes和associated_data_bytes。 - 将
ciphertext转换成base64编码的Buffer类型的对象ciphertext_bytes。 - 根据算法规范,计算去掉认证信息长度的密文长度。
- 将密文截取得到明文部分
cipherdata_bytes和认证部分auth_tag_bytes。 - 使用 Node.js 自带的
crypto模块创建一个Decipheriv类实例,使用aes-256-gcm算法解密密文。同时设置认证标签和填充内容,用于验证密文的完整性和正确性。 - 最后调用
decipher.update()方法将密文进行解密,返回解密后的Buffer类型的对象output,并将其返回。
完整代码
const urllib = require('urllib'); const { KJUR, hextob64 } = require('jsrsasign') const RandomTool = require('./RandomTool') const crypto = require("crypto"); const x509 = require('@peculiar/x509'); class WxPayment { constructor({ appid, mchid, private_key, serial_no, apiv3_private_key, notify_url } = {}) { this.appid = appid; // 公众号appid this.mchid = mchid; // 商户号mchid this.private_key = private_key; // 商户私钥 this.serial_no = serial_no; // 证书序列号,用于声明所使用的证书 this.apiv3_private_key = apiv3_private_key; // APIv3密钥,解密平台证书 this.notify_url = notify_url; // 回调地址 this.requestUrls = { // pc端native下单API native: () => { return { url: 'https://api.mch.weixin.qq.com/v3/pay/transactions/native', method: 'POST', pathname: '/v3/pay/transactions/native', } }, // 获取平台证书url getCertificates: () => { return { url: `https://api.mch.weixin.qq.com/v3/certificates`, method: `GET`, pathname: `/v3/certificates`, } }, // 通过out_trade_no查询订单url配置 getTransactionsByOutTradeNo: ({ pathParams }) => { return { url: `https://api.mch.weixin.qq.com/v3/pay/transactions/out-trade-no/${pathParams.out_trade_no}?mchid=${this.mchid}`, method: `GET`, pathname: `/v3/pay/transactions/out-trade-no/${pathParams.out_trade_no}?mchid=${this.mchid}`, } }, } // 初始化平台证书 this.decodeCertificates() } // 通过商户订单号out_trade_no查询订单 async getTransactionsByOutTradeNo(params) { return await this.wxSignRequest({ pathParams: params, type: 'getTransactionsByOutTradeNo' }) } // 请求微信服务器签名封装 async wxSignRequest({ pathParams, bodyParams, type }) { let { url, method, pathname } = this.requestUrls[type]({ pathParams }) let timestamp = Math.floor(Date.now() / 1000) // 时间戳 let onece_str = RandomTool.randomString(32); // 随机串 let bodyParamsStr = bodyParams && Object.keys(bodyParams).length ? JSON.stringify(bodyParams) : '' // 请求报文主体 let signature = this.rsaSign(`${method}\n${pathname}\n${timestamp}\n${onece_str}\n${bodyParamsStr}\n`, this.private_key, 'SHA256withRSA') // 请求头传递签名 let Authorization = `WECHATPAY2-SHA256-RSA2048 mchid="${this.mchid}",nonce_str="${onece_str}",timestamp="${timestamp}",signature="${signature}",serial_no="${this.serial_no}"` // 接口请求 let { status, data } = await urllib.request(url, { method: method, dataType: 'text', data: method == 'GET' ? '' : bodyParams, timeout: [10000, 15000], headers: { 'Content-Type': 'application/json', 'Accept': 'application/json', 'Authorization': Authorization }, }) return { status, data } } //native统一下单 async native(params) { let bodyParams = { ...params, appid: this.appid, mchid: this.mchid, notify_url: this.notify_url, } return await this.wxSignRequest({ bodyParams, type: 'native' }) } // 获取平台证书 async getCertificates() { return await this.wxSignRequest({ type: 'getCertificates' }) } /** * rsa签名 * @param content 签名内容 * @param privateKey 私钥,PKCS#1 * @param hash hash算法,SHA256withRSA * @returns 返回签名字符串,base64 */ rsaSign(content, privateKey, hash = 'SHA256withRSA') { // 创建 Signature 对象 const signature = new KJUR.crypto.Signature({ alg: hash, // 私钥 prvkeypem: privateKey }) // 传入待加密字符串 signature.updateString(content) // 生成密文 const signData = signature.sign() // 将内容转成base64 return hextob64(signData) } //验证签名 timestamp,nonce,serial,signature均在HTTP头中获取,body为请求参数 async verifySign({ timestamp, nonce, serial, body, signature }) { // 拼接参数 let data = `${timestamp}\n${nonce}\n${typeof body == 'string' ? body : JSON.stringify(body)}\n`; // 用crypto模块解密 let verify = crypto.createVerify('RSA-SHA256'); // 添加摘要内容 verify.update(Buffer.from(data)); // 从初始化的平台证书中获取公钥 for (let cert of this.certificates) { if (cert.serial_no == serial) { return verify.verify(cert.public_key, signature, 'base64'); } else { throw new Error('平台证书序列号不相符') } } } //解密证书列表 解出CERTIFICATE以及public key async decodeCertificates() { let result = await this.getCertificates(); if (result.status != 200) { throw new Error('获取证书列表失败') } let certificates = typeof result.data == 'string' ? JSON.parse(result.data).data : result.data.data for (let cert of certificates) { let output = this.decode(cert.encrypt_certificate) cert.decrypt_certificate = output.toString() let beginIndex = cert.decrypt_certificate.indexOf('-\n') let endIndex = cert.decrypt_certificate.indexOf('\n-') let str = cert.decrypt_certificate.substring(beginIndex + 2, endIndex) // 生成X.509证书 let x509Certificate = new x509.X509Certificate(Buffer.from(str, 'base64')); let public_key = Buffer.from(x509Certificate.publicKey.rawData).toString('base64') // 平台证书公钥 cert.public_key = `-----BEGIN PUBLIC KEY-----\n` + public_key + `\n-----END PUBLIC KEY-----` } return this.certificates = certificates } //解密 decode(params) { const AUTH_KEY_LENGTH = 16; // ciphertext = 密文,associated_data = 填充内容, nonce = 位移 const { ciphertext, associated_data, nonce } = params; // 密钥 const key_bytes = Buffer.from(this.apiv3_private_key, 'utf8'); // 位移 const nonce_bytes = Buffer.from(nonce, 'utf8'); // 填充内容 const associated_data_bytes = Buffer.from(associated_data, 'utf8'); // 密文Buffer const ciphertext_bytes = Buffer.from(ciphertext, 'base64'); // 计算减去16位长度 const cipherdata_length = ciphertext_bytes.length - AUTH_KEY_LENGTH; // upodata const cipherdata_bytes = ciphertext_bytes.slice(0, cipherdata_length); // tag const auth_tag_bytes = ciphertext_bytes.slice(cipherdata_length, ciphertext_bytes.length); const decipher = crypto.createDecipheriv( 'aes-256-gcm', key_bytes, nonce_bytes ); decipher.setAuthTag(auth_tag_bytes); decipher.setAAD(Buffer.from(associated_data_bytes)); const output = Buffer.concat([ decipher.update(cipherdata_bytes), decipher.final(), ]); return output; } } module.exports = WxPayment;
代码逻辑:
实例化时调用this.decodeCertificates() 初始化证书,接着调用getCertificates请求平台证书。然后便利平台证书进行解密拿到平台证书公钥。
封装验证微信发起的签名+解密数据得到用户订单信息
开发回调地址接口对应的逻辑
Service
callback: async (req) => { let timestamp = req.header('Wechatpay-Timestamp') let nonce = req.header('Wechatpay-Nonce') let serial = req.header('Wechatpay-Serial') let signature = req.header('Wechatpay-Signature') let body = req.body // 1.校验收到的请求是否微信服务器发起 let result = await payment.verifySign({ timestamp: timestamp, nonce: nonce, serial: serial, signature: signature, body: body }) if (!result) { return } // 2.解密body中的resource数据,拿到用户订单信息 let bufferOne = payment.decode(body.resource) let json = JSON.parse(bufferOne.toString('utf8')) console.log(json) return BackCode.buildSuccess() },
验证签名
//验证签名 timestamp,nonce,serial,signature均在HTTP头中获取,body为请求参数 async verifySign({ timestamp, nonce, serial, body, signature }) { // 拼接参数 let data = `${timestamp}\n${nonce}\n${typeof body == 'string' ? body : JSON.stringify(body)}\n`; // 用crypto模块解密 let verify = crypto.createVerify('RSA-SHA256'); // 添加摘要内容 verify.update(Buffer.from(data)); // 从初始化的平台证书中获取公钥 for (let cert of this.certificates) { if (cert.serial_no == serial) { return verify.verify(cert.public_key, signature, 'base64'); } else { throw new Error('平台证书序列号不相符') } } }
- 该方法接收一个参数对象,包括时间戳
timestamp、随机字符串nonce、平台证书序列号serial、请求体body和签名signature。 - 将
timestamp、nonce和body拼接成一个字符串data,使用\n进行分隔符,其中需要注意将body转换为字符串形式。 - 使用 Node.js 自带的
crypto模块创建一个Verify类实例,使用RSA-SHA256签名算法进行签名验证。 - 对
data进行摘要计算,在计算中添加需要验证的数据。 - 通过遍历初始化时传入的
certificates数组,查找到与serial相对应的平台证书cert。 - 如果找到了相应的证书,则使用
verify.verify()方法进行签名验证,传入公钥cert.public_key、签名signature和编码方式base64,返回验证结果。 - 如果未找到相应的平台证书,则抛出错误提示平台证书序列号不相符。
需要注意的是,该方法使用 RSA-SHA256 算法进行签名验证,同时还需要从初始化传入的平台证书数组 certificates 中获取证书公钥进行验证,以确保请求的合法性。
查询订单⽀付状态逻辑封装+快速验证
pay.weixin.qq.com/wiki/doc/ap…
商户订单号查询
- 查询订单逻辑封装
//通过out_trade_no查询订单 async getTransactionsByOutTradeNo(params) { return await this.wxSignRequest({ pathParams: params, type: 'getTransactionsByOutTradeNo' }) }
验证订单状态查询
const { payment } = require('./config/wechatPay'); (async () => { let wechatOrder = await payment.getTransactionsByOutTradeNo({ out_trade_no: '123456789wqjeqjwdiqhdhqd' }) console.log(wechatOrder.data) })()
传入商户订单号,和直连商户号mchid 使用 wxSignRequest进行请求。
