常见充值方式介绍及对比

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

1:银联充值

1:环境部署

安装NetPay4NTSetup.exe,将MerPrk.key和PgPubk.key两个文件放到C:\WINDOWS目录下,环境部署完成了。

2:程序中要注意的问题

最容易导致问题的就是生成加密串,这个加密功能是由银联提共的,调用Interop.CHINAPAYLib.dll中类CHINAPAYLib.NetPayClientClass的sign方法,由于这是对字符串进行加密,不同的字符串加密后的串是不一样的,所以要注意被加密字符前后是否有多余的空格,支付金额的位数,如果加密串生成有误,到银联那边肯定报参数有误的。充值成功后就是回调解密,解密调用的是CHINAPAYLib.NetPayClientClass的check方法,返回“0”表示成功,其他值表示失败。充值成功才能进行转点和发奖。

3:还要注意的一个问题是充值金额

充值金额是一个12位的字符串,以分作为单位,如000000001000表示10元,不能提交0元的订单。

4:银联订单的大致流程:用户提交一个订单,将部分参数的值加在一起,按照一定的方式加密,将结果和其他参数POST到银联的指定地址,银联会对参数进行验证,如果验证通过则认为是合法的订单,用户可以开始支付,支付成功之后,银联会对两个地址发送请求,一个地址是前台显示页面(告诉用户支付成功),另一个页面则是逻辑功能页面,把用户买的东西给他,先还是验证订单是否合法,进一步确认用户是否已经支付,支付成功后就把东西给用户。并告诉银联已经把东西给用户了,如果出现问题,银联会隔一段时间再次发送请求,时间间隔会越来越大,一定时间过来不再发送请求,有时候银联那边也会出现问题,用户的钱扣了,但是没有向我们指定的页面发送请求,就只能联系银联让他们退钱,所有的支付流程大致都是这样的,只是不同的支付方式验证不一样。

 

验证无非3种:

1:参数验证,参数的格式验证,加密串是否匹配

2:IP验证,只有双方约定的IP才能访问

3:订单的验证,验证订单是否支付

1是必验证的,2||3=true就可,就怕为false,那样真的很不安全

 

2:快钱充值

1:环境部署

环境就是为了解决加密解密问题。登录公司在快钱的账号,按照相关提示可以生成一个加密问题和一个解密问题,解密文件要上传到快钱上,因为我们加密后传过去的字符串他们要解密验证。我们的程序只用调用这个两个文件,生成订单的时候要调用加密文件,回调的时候要调用解密文件,这两个文件建议放在C盘的一个目录中,把他们的路径配在配置文件中共程序调用。IP验证是必须的,只能让指定的IP访问就安全多了,如果哪个牛人能突破IP的限制,或者构造虚假的IP,那就真的可以横冲直撞了。

2:生成加密串注意的问题

所有的参数都是先放到Dictionary中的,然后生成一个字符串,参数加入dictionary中的顺序千万不能改,改了就是不同的字符串了,加密后的字符串当然是不一样的。总之要确保加密和解密的参数的顺序是一样的。

3:还要注意的一个问题是充值金额

充值金额没有位数的限制,以分为单位,如1000表示10元,左边不能补0

3:支付宝

支付宝不需要环境的支持。参数用MD5加密,为了确保安全,在回调页还要向支付宝发送一个请求,验证订单是否支付,参数的顺序是按照参数的名字排序的,所以用的是SortedDictionary集合。

注意:所有的参数都要放到集合当中,哪怕是提交按钮,所以提交按钮最好不要设置name属性。这一点也是支付宝最坑爹的,我猜它是将所有参数按照参数名称排序并串联,然后加密的,你的POST参数多了或者少了参数,哪怕是无关没用的参数都会导致加密串验证失败。当然这样做也好处,不用管参数的串联顺序,不像其他的充值方式,非要A参数必须在B参数的前面。

支付宝支付能确保支付的安全性主要是在回调页面还要去支付宝验证订单是否支付,当然还会验证订单的关联是否正确,不然还是有漏洞。

 

4:神州行和联通卡

没有任何特殊,所以注意的地方比较少,确保被加密的参数顺序不变,即参数的顺序是定的,不能改变。参数MD5加密。解密也是最简单的,加密的时候MD5一次,解密的时候在把参数MD5一下,两次MD5结果一样表示已经支付,相比上面几种支付方式,它是最不安全的。虽然回调页面有一个IP限制。 要是没有这个限制那真的是彻底将接口暴露了,只要会点程序的人,都能很容易写一个东西去攻击了,不用付钱就能得到你想要的东西。

5:V币支付

V币支付同样没有任何特殊的地方,MD5验证,跟神州行和联通卡类似。

6:骏卡支付

骏卡支付跟其他支付方式不一样的地方时我们提供接口,供骏卡那边调用,由于这个接口是公开的,所以做了IP限制,只有骏卡那边提供的IP才能访问这个接口。验证也是MD5加密验证。

流程:用户在骏卡的网站上提交一个订单,然后骏卡会向我们的接口发送一个请求,我们就给用户转一定的点数,然后输出结果。然后骏卡那边会扣用户的骏点。

 

网络支付最常用的支付方式一般是:银联支付、块钱支付、支付宝。当然还有其他的支付方式。我觉得这三种支付方式是相对比较安全的。银联和块钱都有自己的加密解密方式,而且用户也不知道哪些参数是加密串的一部分,参数的顺序也是未知的;支付宝虽然是MD5加密,但会在回调页面验证订单是否支付,保证了安全性。

 

写着写着发现还是很能存在漏洞,不敢多说了。真要把网站写得很安全真不是简单的事情,要考虑的方面还真的比较多,特别是涉及到支付、提交数据的地方。比如A页面向B页面发送一个请求,B页面向数据库中插入数据,如果没有在B页面中做有效验证,任何程序员就可以花不到半个小时的时间写一个小东西,向B页面不断的提交数据,很容易就把数据库给弄爆了。所以最好别得罪程序员,特别是牛B的程序员。

 

作者:陈太汉

博客:http://www.cnblogs.com/hlxs/



本文转自啊汉博客园博客,原文链接:http://www.cnblogs.com/hlxs/archive/2012/05/29/2523706.html

目录
相关文章
支付宝 - 支付宝怎么解除自动续费?
支付宝 - 支付宝怎么解除自动续费?
4707 1
支付宝 - 支付宝怎么解除自动续费?
|
10天前
|
API
使用京东API接口进行支付结算有哪些注意事项?
使用京东API接口进行支付结算时,需遵守京东开放平台规定,保护用户隐私,关注API接口变化,确保应用合法、完整、可靠,正确使用API对接信息,保持API接口调用成功率,及时整改程序缺陷,结算依据以商家后台系统为准。如需帮助,请私信或评论联系。
|
4月前
|
前端开发
支付系统44----支付宝支付-退款查询
支付系统44----支付宝支付-退款查询
支付系统44----支付宝支付-退款查询
支付系统43-----支付宝支付-统一收单退款,全额退款这里可以发起一笔或者两笔订单
支付系统43-----支付宝支付-统一收单退款,全额退款这里可以发起一笔或者两笔订单
|
4月前
|
API 开发工具
支付系统17------支付宝支付-----API预览以及签名验签说明,出现支付宝扫描二维码的操作,支付完成之后,查询订单的状态,支付成功之后,需要退款调用的接口,退款状态的接口,完成退款之后,通知
支付系统17------支付宝支付-----API预览以及签名验签说明,出现支付宝扫描二维码的操作,支付完成之后,查询订单的状态,支付成功之后,需要退款调用的接口,退款状态的接口,完成退款之后,通知
云大使绑定提现账号,兑换云气值操作攻略
活动优化:为了便于大使快速完成提现绑定,后续提现工作。云大使业务进行了活动优化现将云大使绑定淘宝账户提现至淘宝所对应的支付宝账户更改为直接绑定支付宝账户提现至对应支付宝,本期主要讲解电脑端和手机端两个版本绑定提现账号,兑换云气值的操作攻略 具体操作步骤如下
GoDaddy用支付宝付款时出现我们无法处理这笔交易,请查看您的付款信息并重试。...
GoDaddy用支付宝付款时出现我们无法处理这笔交易,请查看您的付款信息并重试。...
279 0
|
弹性计算
阿里云存在未支付订单导致无法下单解决方法
解决阿里云存在未支付订单请支付或作废后再下单,阿里云服务器或其他云资源无法立即购买,提示“您选择的资源存在未支付订单,请支付或作废后再下单!”什么原因?这是由于你的阿里云账号之前已经创建了该订单,只是订单没有支付,所以无法再次创建订单。解决方法是,要么取消之前的订单,要么支付之前的订单。阿里云百科来详细说下阿里云账号下存在未支付订单的解决方法:
1003 0
阿里云存在未支付订单导致无法下单解决方法
|
XML Linux PHP
shopnc自动结算的问题
shopnc自动结算的问题
113 0
shopnc自动结算的问题
|
安全
在阿里云后置台充值后如何提现—详细教程
您可前往新用户中心,在新用户中心页面,可以看到您的余额和提现入口,点击提现按钮,进入到提现页面进行提现操作。阿里云余额提现,提现到哪里?操作流程
1974 2