详解NodeJs支付宝移动支付签名及验签

非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo 的文章,如果不是找到这篇文章我可能还要继续坑几天,代码也基本都是照着他的搬过来的,不过支付宝移动支付文档写的非常糟糕而且没有node的SDK和demo,写起来异常痛苦..好在找到了这篇文章顺便折腾了一下午支付宝的技术人员总算把移动支付整个流程给做完了,所以就顺便记录一下自己遇到的坑,和对移动支付整个流程的梳理。

支付宝给的流程图还是很清晰的,其实基本流程就是

  1. 用户向服务器请求一个付款
  2. 服务器生成一个带签名的订单发送给客户端
  3. 客户端通过这个订单向app sdk请求付款
  4. sdk把用户引入支付宝付款界面进行支付
  5. 支付成功后支付宝向前端返回支付成功结果,并且向服务器发送一个支付通知
  6. 服务器接收通知并且验证是否是支付宝发送的成功结果

app客户端需要做的很简单:

  1. 向自己的服务器请求一个订单,
  2. 接收到订单后,向支付宝sdk发情一个支付请求
  3. 交易结束后返回一个成功或者失败

服务器做的事情稍微多一点(注意:服务端需要存放应用的私钥进行签名,还有支付宝的公钥进行验签):

1.接收到客户端请求时候,生成一个带签名订单返回给客户端,中间的步奏有

1) 把相应的配置数据生成一个数组,再把数组的数据生成一个有序的字符串

//将支付宝发来的数据生成有序数列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 将这组支付串进行RSA-SHA1算法,得到的结果再与存在服务端的私钥进行签名

//验签
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 有序的字符串+得到的签名+签名方法就是生成的订单,将这组订单返回给客户端

//发送订单号
 sendAlipay: function(req, res) {
 var code = ""
 for(var i = 0; i < 4; i++) {
 code += Math.floor(Math.random() * 10);
 }
 //订单号暂时由时间戳与四位随机码生成
 AlipayConfig.out_trade_no = Date.now().toString() + code;
 var myParam = getParams(AlipayConfig);
 var mySign = getSign(AlipayConfig)
 var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
 console.log(last)
 return res.send(last)
 }

2.前半段的工作就做完了,接下来如果前端支付成功,支付宝会向我们预留好的回调接口发送一个POST请求,让我们验证用户是否支付成功

1) 将支付宝发送过来的数据生成一个有序的字符串

//将支付宝发来的数据生成有序数列
function getVerifyParams(params) {
 var sPara = [];
 if(!params) return null;
 for(var key in params) {
 if((!params[key]) || key == "sign" || key == "sign_type") {
 continue;
 };
 sPara.push([key, params[key]]);
 }
 sPara = sPara.sort();
 var prestr = '';
 for(var i2 = 0; i2 < sPara.length; i2++) {
 var obj = sPara[i2];
 if(i2 == sPara.length - 1) {
 prestr = prestr + obj[0] + '=' + obj[1] + '';
 } else {
 prestr = prestr + obj[0] + '=' + obj[1] + '&';
 }
 }
 return prestr;
}

2) 将获取的数据进行hash然后根据公钥进行对签名的有效应验证,返回true和false

//验签
function veriySign(params) {
 try {
 var publicPem = fs.readFileSync('./rsa_public_key.pem');
 var publicKey = publicPem.toString();
 var prestr = getVerifyParams(params);
 var sign = params['sign'] ? params['sign'] : "";
 var verify = crypto.createVerify('RSA-SHA1');
 verify.update(prestr);
 return verify.verify(publicKey, sign, 'base64')

 } catch(err) {
 console.log('veriSign err', err)
 }
}

3) 如果验签成功再生成支付宝通知url,来验证是否是支付宝发来的通知(支付宝的验证一大堆,脑壳都痛了),如果有数据则说明确实是支付宝发来的通知,这次交易有效

//回调验签
 getAlipay: function(req, res) {
 console.log(req.body)
 var params = req.body
 var mysign = veriySign(params);
 //验证支付宝签名mysign为true表示签名正确
 console.log(mysign)
 try {
 //验签成功
 if(mysign) {
 if(params['notify_id']) {
 var partner = AlipayConfig.partner;
 //生成验证支付宝通知的url
 var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
 console.log('url:' + url)
 //验证是否是支付宝发来的通知
 https.get(url, function(text) {
 //有数据表示是由支付宝发来的通知
 if(text) {
 //交易成功
 console.log('success')
 } else {
 //交易失败
 console.log('err')
 }
 })
 }
 }
 } catch(err) {
 console.log(err);
 }
 }

这样整个流程就跑完了,代码原博客都有,这里最多只是有些改成了sails的写法,主要写一下这次遇到的几个坑和值得注意的几个地方

1. 由于移动支付的文档描述不清楚,私钥其实上上传到账户信息的mapi网管产品密钥里:

而不是上传到应用的密钥里

2. 移动支付只支持RSA(SHA1)

3.  ./是在sails里获取的到根目录下的密钥(有点搞不懂sails的这个路径)

4. 生成订单时候的有序字符串格式是body="测试" ,有双引号,但是验签生成的有序字符串里不能有双引号

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持我们!

(0)

相关推荐

  • 详解Nodejs基于mongoose模块的增删改查的操作

    MongoDB MongoDB是基于Javascript语言的数据库,存储格式是JSON,而Node也是基于JavaScript的环境(库),所以node和mongoDB的搭配能减少因为数据转换带来的时间空间开销. Mongoose 是MongoDB的一个对象模型工具,它将数据库中的数据转换为JavaScript对象以供你在应用中使用,封装了MongoDB对文档的的一些增删改查等常用方法,让NodeJS操作Mongodb数据库变得更加灵活简单. 安装模块mongoose npm install

  • nodejs实例解析(输出hello world)

    下面将带领大家一步步学习nodejs,知道怎么使用nodejs搭建服务器,响应get/post请求,连接数据库等. 搭建服务器页面输出hello world var http = require('http'); http.createServer(function (request, response) { response.writeHead(200, {'Content-Type': 'text/html; charset=utf-8'}); if(request.url!=="/favi

  • nodejs利用http模块实现银行卡所属银行查询和骚扰电话验证示例

    http模块内部封装了http服务器和客户端,因此Node.js不需要借助Apache.IIS.Nginx.Tomcat等传统HTTP服务器,就可以构建http服务器,亦可以用来做一些爬虫.下面简单介绍该模块的使用,其具体API,大家可以自行去nodejs官方文档查看. 1.http.Server服务器 使用http.createServer([requestListener])方法创建一个http服务器,该方法返回一个新的http.Server实例,如果指定了requestListener,则

  • Nodejs 搭建简单的Web服务器详解及实例

    使用 Nodejs 搭建简单的Web服务器 使用Nodejs搭建Web服务器是学习Node.js比较全面的入门教程,因为要完成一个简单的Web服务器,你需要学习Nodejs中几个比较重要的模块,比如:http协议模块.文件系统.url解析模块.路径解析模块.以及301重定向问题,下面我们就简单讲一下如何来搭建一个简单的Web服务器. 作为一个Web服务器应具备以下几个功能: 1.能显示以.html/.htm结尾的Web页面 2.能直接打开以.js/.css/.json/.text结尾的文件内容

  • Highcharts+NodeJS搭建数据可视化平台示例

    前一段时间完成了一个数据可视化项目,由后台NodeJS+Highcharts框架进行搭建.下面分享一下整个开发过程的流程,以及使用Highcharts框架的经验. 一.数据的读取 由于数据库使用的是MySQL数据库,在NodeJS中,可以使用NodeJS中的mysql模块进行mysql数据库的相关操作,通过npm安装即可. 1.数据库基本配置 为了方便,我们最好先进行一个数据库连接的基本配置,mysql模块需要的配置信息如下: var connection = mysql.createConne

  • nodejs连接mongodb数据库实现增删改查

    准备 1.通过npm命令安装mongodb 2.安装mongodb数据库,这里不详细介绍了,安装网址:http://www.jb51.net/article/82522.htm CRUD操作 在此之前应对MongoDB数据库有所了解,知道它的一些增删查改命令. 1.增加 var MongoClient = require("mongodb").MongoClient; var DB_URL = "mongodb://localhost:27017/chm"; fun

  • 简单实现nodejs上传功能

    本文实例为大家分享了Android九宫格图片展示的具体代码,供大家参考,具体内容如下 npm install formidable var formidable = require('formidable'), http = require('http'), util = require('util'); http.createServer(function(req, res) { if (req.url == '/index' && req.method.toLowerCase() ==

  • 进阶之初探nodeJS

    一.前言 在"初探nodeJS"随笔中,我们对于node有了一个大致地了解,并在最后也通过一个示例,了解了如何快速地开启一个简单的服务器. 今儿,再次看了该篇随笔,发现该随笔理论知识稍多,适合初级入门node,固萌生一个想法--想在该篇随笔中,通过一步步编写一个稍大一点的node示例,让我们在整体上更加全面地了解node. so,该篇随笔是建立在"初探nodeJS"之上的,固取名为"进阶之初探nodeJS". 好了,侃了这多,那么我们即将实现一个

  • 基于NodeJS+MongoDB+AngularJS+Bootstrap开发书店案例分析

    这章的目的是为了把前面所学习的内容整合一下,这个示例完成一个简单图书管理模块,因为中间需要使用到Bootstrap这里先介绍Bootstrap. 示例名称:天狗书店 功能:完成前后端分离的图书管理功能,总结前端学习过的内容. 技术:NodeJS.Express.Monk.MongoDB.AngularJS.BootStrap.跨域 效果: 一.Bootstrap Bootstrap是一个UI框架,它支持响应式布局,在PC端与移动端都表现不错. Bootstrap是Twitter推出的一款简洁.直

  • 学习 NodeJS 第八天:Socket 通讯实例

    前言 一般来讲,HTTP 是基于文本的"单向"通讯机制.这里所谓的"单向",乃相对于"双向"而言,因为 HTTP 服务器只需根据请求返还恰当的 HTML 给客户端即可,不涉及客户端向服务端的通讯.这种单向的机制比较简单,对网络质量要求也不高.而更多的场景则是需要可靠.稳定的端到端连接.一般这种服务是实时的.有态的而且是长连接,长连接则暗示两段须达致相向通讯的能力,也就说是服务端客户端两者间能够实时地相互间通信.毫无疑问,能够实时通信的服务器正是我

  • NodeJS实现客户端js加密

    思路: 服务端渲染业务代码js => 前后端约定加密算法 => 业务代码进行签名 => 客户端解密业务代码 => eval 执行 Node 路由示例: /** * 请自定义 restful API 这里以 GET 为例 * @param {req} * @param {res} * @return {next()} */ //var util = require('utility'); exports.encryption = function(req, res){ //GET v

  • nodeJS删除文件方法示例

    本文实例讲述了nodeJS删除文件方法.分享给大家供大家参考,具体如下: var fs = require("fs"); var path = require("path"); deleteFolderRecursive = function(url) { var files = []; //判断给定的路径是否存在 if( fs.existsSync(url) ) { //返回文件和子目录的数组 files = fs.readdirSync(url); files.

随机推荐