OpenAPI接口使用及其加密验签流程

加密验签流程


  1. 配置partnerId、key、url。
private static String partnerId = "test";
private static String key = "06f7aab08aa2431e6dae6a156fc9e0b4";
private static String url = "http://openapi.test.com:8810/gateway.html";
  1. 组装接口请求参数。
Map<String, String> map = new HashMap<String, String>();
map.put(YijipayConstants.VERSION, null);
map.put(YijipayConstants.REQUEST_NO, Ids.oid());
map.put(YijipayConstants.PARTNER_ID, partnerId);
map.put(YijipayConstants.CHARSET, "MD5");
        
map.put("service", "posTradeCallBackQuery");
map.put("userNo", "17080915060804000049");
  1. 进行doPost网络请求:
  • 3.1 检查orderNo、requestNo是否为空,空值抛出异常。
  • 3.2 检查version、signType、protocol,为空进行默认设置。
  • 3.3 检查partnerId、service是否为空,空值抛出异常。
  • 3.4 遍历参数表,参数为空时从参数表中移除。
  • 3.5 使用参数(params)和秘钥(securityKey)进行签名生成字符串,并把该字符串组装进params-sign。
  • 3.6 进行网络请求,得到响应responseStr。
  • 3.7 响应体转JSON对象responseObj。
  • 3.8 判断响应体responseObj是否含有sign,否则直接返回responseObj。
  • 3.9 验签:没有通过抛出异常,通过直接返回responseObj。原理:根据参数和密钥按照参数中的加密方法进行加密生成字符串是否和参数中的sign字段是否一致。
protected void supplementDefaultAndConfig(Map<String, String> request) {
    if ((StringUtils.isBlank((CharSequence) request.get("orderNo")))
        && (StringUtils.isBlank((CharSequence) request.get("requestNo")))) {
        throw new OpenApiClientException("请求号流水号不能为空");
    }

    if (StringUtils.isBlank((CharSequence) request.get("version"))) {
        request.put("version", "1.0");
    }

    if (StringUtils.isBlank((CharSequence) request.get("signType"))) {
        request.put("signType", SignTypeEnum.MD5.code());
    }

    if (StringUtils.isBlank((CharSequence) request.get("protocol"))) {
        request.put("protocol", "HTTP_FORM_JSON");
    }

    if (Strings.isBlank((CharSequence) request.get("partnerId"))) {
        throw new OpenApiClientException("商户ID(partnerId)不能为空");
    }

    if (Strings.isBlank("service")) {
        throw new OpenApiClientException("服务码(service)不能为空");
    }

    Iterator it = request.entrySet().iterator();
    while (it.hasNext()) {
        Map.Entry entry = (Map.Entry) it.next();
        if (StringUtils.isBlank((CharSequence) entry.getValue()))
            it.remove();
    }
}
    public String doPost(String url, Map<String, String> params, String securityKey, int connectTimeout,
            int readTimeout) {
        try {
            supplementDefaultAndConfig(params);

            String signStr = sign(params, securityKey);
            params.put("sign", signStr);
            String responseStr = WebUtils.doPost(url, params, connectTimeout * 1000, readTimeout * 1000);
            JSONObject responseObj = JSON.parseObject(responseStr);
            if (!(responseObj.containsKey("sign"))) {
                logger.warn("服务执行失败,不验签响应报文!,响应报文:" + responseObj);
                return responseStr;
            }

            boolean isPass = verificationSign(responseStr, securityKey);
            if (!(isPass)) {
                throw new OpenApiClientException("服务响应验签失败,响应报文:" + responseStr);
            }
            logger.info("易极付响应报文:" + responseStr);

            return responseStr;
        } catch (IOException e) {
            logger.error("服务请求错误:" + e.getMessage());
            throw new OpenApiClientException("服务请求错误:" + e.getMessage());
        }
    }
    public static String doPost(String url, Map<String, String> params, int connectTimeout, int readTimeout)
            throws IOException {
        return doPost(url, params, "UTF-8", connectTimeout, readTimeout);
    }

    public static String doPost(String url, Map<String, String> params, String charset, int connectTimeout,
            int readTimeout) throws IOException {
        String ctype = new StringBuilder().append("application/x-www-form-urlencoded;charset=").append(charset)
                .toString();
        String query = buildQuery(params, charset);
        byte[] content = new byte[0];
        if (query != null) {
            content = query.getBytes(charset);
        }
        return doPost(url, ctype, content, connectTimeout, readTimeout);
    }

    public static String doPost(String url, String ctype, byte[] content, int connectTimeout, int readTimeout)
            throws IOException {
        HttpURLConnection conn = null;
        OutputStream out = null;
        String rsp = null;
        try {
            try {
                conn = getConnection(new URL(url), "POST", ctype);
                conn.setConnectTimeout(connectTimeout);
                conn.setReadTimeout(readTimeout);
            } catch (IOException e) {
                Map map = getParamsFromUrl(url);
                logger.error(new StringBuilder().append("服务[").append((String) map.get("service")).append("]请求失败:")
                        .append(e.getMessage()).toString());
                throw e;
            }
            try {
                out = conn.getOutputStream();
                out.write(content);
                rsp = getResponseAsString(conn);
            } catch (IOException e) {
                Map map = getParamsFromUrl(url);
                logger.error(new StringBuilder().append("服务[").append((String) map.get("service")).append("]请求失败:")
                        .append(e.getMessage()).toString());
                throw e;
            }
        } finally {
            if (out != null) {
                out.close();
            }
            if (conn != null) {
                conn.disconnect();
            }

        }

        return rsp;
    }
    public boolean verificationSign(String responseStr, String securitykKey) {
        Map dataMap;
        try {
            dataMap = (Map) JSON.parseObject(responseStr, Map.class, new Feature[]{Feature.OrderedField});
        } catch (Exception e) {
            logger.info("认证(签名)错误");
            return false;
        }
        return executerDigest(dataMap, securitykKey);
    }
protected <T> boolean executerDigest(Map<String, T> dataMap, String securityCheckKey) {
        boolean isPass = false;
        try {
            String signType = (String) dataMap.get("signType");
            String signature = (String) dataMap.get("sign");
            dataMap.remove("sign");
            String getSignStr = DigestUtil.digest(dataMap, securityCheckKey,
                    DigestUtil.DigestALGEnum.getByName(signType));

            if (getSignStr.equals(signature)) {
                isPass = true;
                logger.info("服务[" + dataMap.get("service") + "]响应报文验签成功");
            }
        } catch (Exception e) {
            logger.info("服务[" + dataMap.get("service") + "]响应报文验签失败" + e.getMessage());
        }
        return isPass;
    }
public static String sign(Map<String, String> formData, String secretyKey) {
    if (formData == null) {
        throw new IllegalArgumentException("数据不能为空");
    }
    if (formData.isEmpty()) {
        return null;
    }
    if (secretyKey == null) {
        throw new IllegalArgumentException("安全校验码数据不能为空");
    }
    Map sortedMap = new TreeMap(formData);
    if (sortedMap.containsKey("sign")) {
        sortedMap.remove("sign");
    }
    StringBuffer stringToSign = new StringBuffer();
    if (sortedMap.size() > 0) {
        for (Map.Entry entry : sortedMap.entrySet()) {
            if ((StringUtils.isNotBlank((CharSequence) entry.getValue())) &&(entry.getValue() != null)) {
                stringToSign.append((String)entry.getKey()).append("=").apped((String) entry.getValue())
                        .append("&");
            }
        }
        stringToSign.deleteCharAt(stringToSign.length() - 1);
    }
    logger.info("代签字符串[" + stringToSign.toString() + "]");
    stringToSign.append(secretyKey);
    String signature = DigestUtils.md5Hex(stringToSign.toString());
    logger.info("签名结果[" + signature + "]");
    return signature;
}

交互流程

  1. 商户首先要对需要加密的参数进行加密,然后对请求报文做签名,最后请求支付公司网的网关。
  2. 商户收到网关响应和通知后,首先对参数进行验签,确保参数没有被篡改。验证通过后,对加密的参数进行解密。

一些注意

  1. 为保障异步通知能正确的通知到商户系统,请保证服务器异步通知URL链接(notifyUrl)上无任何特别字符,如空格、HTML标签、商户系统自带抛出的异常提示信息等,也不能后接queryString。
  2. 如果商户需要在notifyUrl加上queryString,从而在得到企账通响应时得到该参数值,这个时候可以使用公共请求报文的context字段,把对应的queryString赋值给context。具体格式请参照公共请求报文中的context。
  3. 同步通知采用http/redirect方式跳转returnUrl通知,采用http-get方式,异步通知采用http-post方式后台请求通知商户端。

安全

  • 摘要方案:摘要签名(MD5)/对称加密(AES)

  • 证书方案:证书签名(RSA)/非对称加密(RSA)

  • 摘要安全模式

    1. 报文的签名、验签 ——> 使用MD5算法。
    2. 数据加解密 ——> AES(对称)。
    3. 密钥 ——> 用于报文的摘要签名、验签和对称加解密的密钥。
  • 证书安全模式

    1. 报文的签名,验签和加解密都使用RSA算法。
    2. 商户会收到一对秘钥,包含商户证书(.pfx)和网关证书(server.cer)的两个文件。
    3. 商户证书(.pfx):==包含用户的私钥和公钥证书,主要用于请求报文签名和收到报文的数据解密。==
    4. 网关证书(server.cer):==网关的公钥证书,主要用于对收到的报文(响应,通知)验签和发送数据的加密。==
  • 报文签名、验签流程

    1. 参数拼接:参数的键值通过key=value形式用&链接,生成待签名字符串。==(待签字符串中的特殊字符无需编码,根据HTTP协议,传递参数的值中如果存在特殊字符(如:&、@等)和中文字符,那么该值需要做UTF-8编码的URL-Encoding,这样请求接收方才能接收到正确的参数值。)==
    2. 复杂参数拼接:如果是复杂的报文签名,API服务某个数据项是复杂对象(Object)类型或数组类型(Array),则需要把该项的值转换为标准JSON字符串后作为签名的参数值。在线工具
    3. 签名明文:为代签字符串后接商户安全码,请注意待签字符串与secretKey间没有任何连接字符。eg:key1=val1&key2=val2 c9cef22553afujh64b04a012f9cb8ea9
    4. 签名计算。首先转换签名明文(P)为UTF-8的字节数组(byte[]),通过标准摘要算法计算出摘要值的字节数组形式(byte[]),然后转换摘要的字节数组为Hex(小写字母的16进制形式)的字符串格式(S)则为摘要签名。 伪代码公式为: S=Hex(MD5(P.getBytes(“UTF-8”)))
    5. 验证签名-摘要安全模式:验证签名是在商户端收到网站的同步响应报文或通知报文后,对这些报文进行签名验证。原则为,使用“4. 签名计算”的方法对报文计算的签名值与响应或通知报文中的sign参数值(服务器端计算的签名)进行字符串比较,如果相同则表示验证签名通过,报文在传输过程中未被篡改。
    6. 验证签名-证书安全模式:
      • [x] 签名和验签的明文为代签字符串,里请注意与摘要方式的区别是无需后接任何秘钥。
      • [x] 签名计算:使用标准RSA签名算法,使用商户证书的 商户私钥对请求报文进行签名计算,计算出的结果为256字节(byte数组)的签名数据,请对签名数据进行标准base64编码,最后得到344字节的字符串则为报文的签名。
      • [x] 验证签名:使用RSA标准算法,使用网关证书公钥进行验签。

参考:API商户开发规范

最后编辑于
?著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,128评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,316评论 3 388
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,737评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,283评论 1 287
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,384评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,458评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,467评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,251评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,688评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,980评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,155评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,818评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,492评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,142评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,382评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,020评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,044评论 2 352

推荐阅读更多精彩内容