上一篇文章讲了支付宝iOS SDK加密解密的逻辑,主要是从客户端开发的角度分析。这篇文章会根据支付宝服务端php demo,来分析服务端的加密解密流程。
按照支付的场景,当用户支付完成后,客户端的逻辑就执行完了。这个时候支付宝会回调商家设置的notifyURL,这个值是在客户端设置的。
order.notifyURL = @"http://www.xxx.com"; //回调URL
这个url是商品自己的服务端url,用来处理支付宝的回调。这个回调URL需要解决两个问题:
- 证明请求是由支付宝发起的
- 证明请求的数据在传输过程中没有被篡改
其实这两个问题在上一篇文章里也已经遇到了,解决方案和上一篇文章也差不多,只不过这次角色对调了。
解决方案:
- 支付宝用自己的私钥将特征码加密后,将此数据发给商家服务器,服务器使用支付宝的公钥对密文进行解密,如果解密成功可唯一确定这是用支付宝的私钥加密的密文。
- 支付宝对商品数据做
SHA1签名,得到一个和这个商品信息唯一相关的字符串,然后对这个字符串加密,然后将这个加密后的字符串给商户服务器,商户拿到商品信息和这个加密后的字符串后,首先解密,还原为SHA1签名字符串,然后对商品信息进行SHA1签名,对比这两个SHA1签名字符串,如果相等,那么这个商品一定没有被篡改过。因为如果信息被篡改,那么这个SHA1签名肯定不一样;如果有人想要伪造这个SHA1签名,又需要私钥,所以这就保证了这个商品是支付宝发的。
原理清楚了,我们看看支付宝提供的php demo是怎么具体处理的。
//notify.php
//计算得出通知验证结果
$alipayNotify = new AlipayNotify($alipay_config);
if($alipayNotify->getResponse($_POST['notify_id']))//判断成功之后使用getResponse方法判断是否是支付宝发来的异步通知。
{
if($alipayNotify->getSignVeryfy($_POST, $_POST['sign'])) {//使用支付宝公钥验签
这里通过调用getSignVeryfy,用支付宝公钥验签
//alipay_notify.class.php
/**
* 获取返回时的签名验证结果
* @param $para_temp 通知返回来的参数数组
* @param $sign 返回的签名结果
* @return 签名验证结果
*/
function getSignVeryfy($para_temp, $sign) {
//除去待签名参数数组中的空值和签名参数
$para_filter = paraFilter($para_temp);
//对待签名参数数组排序
$para_sort = argSort($para_filter);
//把数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串
$prestr = createLinkstring($para_sort);
$isSgin = false;
switch (strtoupper(trim($this->alipay_config['sign_type']))) {
case "RSA" :
$isSgin = rsaVerify($prestr, trim($this->alipay_config['alipay_public_key']), $sign);
break;
default :
$isSgin = false;
}
return $isSgin;
}
这里通过rsaVerify($data, $alipay_public_key, $sign)完成验签,$data是待签名数据,它是把_POST数组所有元素,按照“参数=参数值”的模式用“&”字符拼接成字符串,也就是所有的商品参数。$alipay_public_key是支付宝的公钥字符串,$sign是要要校对的的签名结果,它的值是通过$_POST['sign']获取的。函数实现如下
/**
* RSA验签
* @param $data 待签名数据
* @param $alipay_public_key 支付宝的公钥字符串
* @param $sign 要校对的的签名结果
* return 验证结果
*/
function rsaVerify($data, $alipay_public_key, $sign) {
//以下为了初始化私钥,保证在您填写私钥时不管是带格式还是不带格式都可以通过验证。
$alipay_public_key=str_replace("-----BEGIN PUBLIC KEY-----","",$alipay_public_key);
$alipay_public_key=str_replace("-----END PUBLIC KEY-----","",$alipay_public_key);
$alipay_public_key=str_replace("\n","",$alipay_public_key);
$alipay_public_key='-----BEGIN PUBLIC KEY-----'.PHP_EOL.wordwrap($alipay_public_key, 64, "\n", true) .PHP_EOL.'-----END PUBLIC KEY-----';
$res=openssl_get_publickey($alipay_public_key);
if($res)
{
$result = (bool)openssl_verify($data, base64_decode($sign), $res);
}
else {
echo "您的支付宝公钥格式不正确!"."<br/>"."The format of your alipay_public_key is incorrect!";
exit();
}
openssl_free_key($res);
return $result;
}
这里通过openssl_verify(),完成验签。
openssl_verify() verifies that the signature is correct for the specified data using the public key associated with pub_key_id. This must be the public key corresponding to the private key used for signing.
如果验签成功,执行业务逻辑代码,比如订单状态变更等;否则,提示错误信息。
总结:
通过RSA加密,支付宝保证了数据的安全传递。类似地,如果需要实现客户端和服务器加密传输,我们可以采用类似的策略,来保证数据的安全传输。
