1. 前言
在Java中的微信支付(1):API V3版本簽名詳解一文中胖哥講解了微信支付V3版本API的簽名,當我方(你自己的服務器)請求微信支付服務器時需要根據我方的API證書對引數進行加簽,微信服務器會根據我方簽名驗簽以確定請求來自我方服務器,那么同樣的道理我方的服務器也要對微信支付服務器的回應進行鑒別來確定回應真的來自微信支付服務器,這就是驗簽,驗簽使用的是【微信支付平臺證書公鑰】,不是商戶API證書,使用商戶API證書是驗證不過的,今天就來分享一下如何獲得微信平臺公鑰和動態重繪微信平臺公鑰,
2. 獲取微信平臺證書公鑰
微信平臺證書是微信支付平臺自己的證書,我們是管不了的,而且是有效期的,
微信服務器會定期更換,所以也要求我方定期獲取公鑰,而且我們只能通過呼叫介面/v3/certificates來獲得,此介面也需要進行簽名(可參考上一篇文章),你可以獲取證書后靜態放到服務器上,手動更新靜態證書;也可以動態獲取一勞永逸,本文采取一勞永逸的辦法,
平臺證書介面檔案:https://wechatpay-api.gitbook.io/wechatpay-api-v3/jie-kou-wen-dang/ping-tai-zheng-shu
3. 證書和回呼報文解密
為了保證安全性,微信支付在回呼通知和平臺證書下載介面中,對關鍵資訊進行了AES-256-GCM加密,也就是說我們拿到回應的資訊是被加密的,需要解密后才能獲得真正的微信平臺證書公鑰,回應體大致是這樣的,具體根據你呼叫平臺證書介面,應該大差不差是下面這個結構:
{
"data": [
{
"effective_time": "2020-10-21T14:48:49+08:00",
"encrypt_certificate": {
// 加密演算法
"algorithm": "AEAD_AES_256_GCM",
// 附加資料包(可能為空)
"associated_data": "certificate",
// Base64編碼后的密文
"ciphertext": "",
// 加密使用的隨機串初始化向量)
"nonce": "88b4e15a0db9"
},
"expire_time": "2025-10-20T14:48:49+08:00",
// 證書序列號
"serial_no": "217016F42805DD4D5442059D373F98BFC5252599"
}
]
}
你可以使用各種JSON類別庫取得下面方法的引數進行解密以獲取證書,同時這里需要用到APIv3密鑰,通用的解密方式為:
/**
* 解密回應體.
*
* @param apiV3Key API V3 KEY API v3密鑰 商戶平臺設定的32位字串
* @param associatedData response.body.data[i].encrypt_certificate.associated_data
* @param nonce response.body.data[i].encrypt_certificate.nonce
* @param ciphertext response.body.data[i].encrypt_certificate.ciphertext
* @return the string
* @throws GeneralSecurityException the general security exception
*/
public String decryptResponseBody(String apiV3Key,String associatedData, String nonce, String ciphertext) {
try {
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
SecretKeySpec key = new SecretKeySpec(apiV3Key.getBytes(StandardCharsets.UTF_8), "AES");
GCMParameterSpec spec = new GCMParameterSpec(128, nonce.getBytes(StandardCharsets.UTF_8));
cipher.init(Cipher.DECRYPT_MODE, key, spec);
cipher.updateAAD(associatedData.getBytes(StandardCharsets.UTF_8));
byte[] bytes;
try {
bytes = cipher.doFinal(Base64Utils.decodeFromString(ciphertext));
} catch (GeneralSecurityException e) {
throw new IllegalArgumentException(e);
}
return new String(bytes, StandardCharsets.UTF_8);
} catch (NoSuchAlgorithmException | NoSuchPaddingException e) {
throw new IllegalStateException(e);
} catch (InvalidKeyException | InvalidAlgorithmParameterException e) {
throw new IllegalArgumentException(e);
}
}
回呼的請求體也是此方法進行解密,
3. 動態重繪
然后就能拿到微信平臺證書公鑰,然后你可以定義個Map,以證書的序列號為KEY,以證書為Value來動態重繪,關鍵偽代碼:
// 定義全域容器 保存微信平臺證書公鑰 注意執行緒安全
private static final Map<String, Certificate> CERTIFICATE_MAP = new ConcurrentHashMap<>();
// 下面是重繪方法 refreshCertificate 的核心代碼
String publicKey = decryptResponseBody(associatedData, nonce, ciphertext);
final CertificateFactory cf = CertificateFactory.getInstance("X509");
ByteArrayInputStream inputStream = new ByteArrayInputStream(publicKey.getBytes(StandardCharsets.UTF_8));
Certificate certificate = null;
try {
certificate = cf.generateCertificate(inputStream);
} catch (CertificateException e) {
e.printStackTrace();
}
String responseSerialNo = objectNode.get("serial_no").asText();
// 清理HashMap
CERTIFICATE_MAP.clear();
// 放入證書
CERTIFICATE_MAP.put(responseSerialNo, certificate);
動態重繪的策略就很好寫了:
// 當證書容器為空 或者 回應提供的證書序列號不在容器中時 就應該重繪了
if (CERTIFICATE_MAP.isEmpty() || !CERTIFICATE_MAP.containsKey(wechatpaySerial)) {
refreshCertificate();
}
// 然后呼叫
Certificate certificate = CERTIFICATE_MAP.get(wechatpaySerial);
4. 總結
雖然驗簽你不做可以拿到其它介面的回應結果,但是從資金安全的角度來說這是十分必要的,同時因為微信平臺證書不收我方控制,采取動態重繪也會更加方便,不必再擔心過期的問題,本文我們通過呼叫介面拿到密文并解密獲得證書,下一篇我們將通過獲得的證書進行簽名驗證來確保我們的回應是微信服務器發過來的,請關注:碼農小胖哥 及時獲得相關的更新,
關注公眾號:Felordcn 獲取更多資訊
個人博客:https://felord.cn
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/195911.html
標籤:Java
上一篇:Spring 框架中 @PostConstruct 注解詳解
下一篇:juc的鎖