的文章,如果不是找到這篇文章我可能還要繼續坑幾天,代碼也基本都是照着他的搬過來的,不過支付寶移動支付文檔寫的非常糟糕而且沒有node的SDK和demo,寫起來異常痛苦..好在找到了這篇文章順便折騰了一下午支付寶的技術人員總算把移動支付整個流程給做完了,所以就順便記錄一下自己遇到的坑,和對移動支付整個流程的梳理。
支付寶給的流程圖還是很清晰的,其實基本流程就是
- 用戶向服務器請求一個付款
- 服務器生成一個帶簽名的訂單發送給客戶端
- 客戶端通過這個訂單向app sdk請求付款
- sdk把用戶引入支付寶付款界面進行支付
- 支付成功后支付寶向前端返回支付成功結果,並且向服務器發送一個支付通知
- 服務器接收通知並且驗證是否是支付寶發送的成功結果
app客戶端需要做的很簡單:
- 向自己的服務器請求一個訂單,
- 接收到訂單后,向支付寶sdk發情一個支付請求
- 交易結束后返回一個成功或者失敗
服務器做的事情稍微多一點(注意:服務端需要存放應用的私鑰進行簽名,還有支付寶的公鑰進行驗簽):
- 接收到客戶端請求時候,生成一個帶簽名訂單返回給客戶端,中間的步奏有
- 把相應的配置數據生成一個數組,再把數組的數據生成一個有序的字符串
View Code//將支付寶發來的數據生成有序數列 function getVerifyParams(params) { var sPara = []; if(!params) return null; for(var key in params) { if((!params[key]) || key == "sign" || key == "sign_type") { continue; }; sPara.push([key, params[key]]); } sPara = sPara.sort(); var prestr = ''; for(var i2 = 0; i2 < sPara.length; i2++) { var obj = sPara[i2]; if(i2 == sPara.length - 1) { prestr = prestr + obj[0] + '=' + obj[1] + ''; } else { prestr = prestr + obj[0] + '=' + obj[1] + '&'; } } return prestr; }
- 將這組支付串進行RSA-SHA1算法,得到的結果再與存在服務端的私鑰進行簽名
View Code
//驗簽 function veriySign(params) { try { var publicPem = fs.readFileSync('./rsa_public_key.pem'); var publicKey = publicPem.toString(); var prestr = getVerifyParams(params); var sign = params['sign'] ? params['sign'] : ""; var verify = crypto.createVerify('RSA-SHA1'); verify.update(prestr); return verify.verify(publicKey, sign, 'base64') } catch(err) { console.log('veriSign err', err) } }
- 有序的字符串+得到的簽名+簽名方法就是生成的訂單,將這組訂單返回給客戶端
View Code
//發送訂單號 sendAlipay: function(req, res) { var code = "" for(var i = 0; i < 4; i++) { code += Math.floor(Math.random() * 10); } //訂單號暫時由時間戳與四位隨機碼生成 AlipayConfig.out_trade_no = Date.now().toString() + code; var myParam = getParams(AlipayConfig); var mySign = getSign(AlipayConfig) var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"'; console.log(last) return res.send(last) }
- 把相應的配置數據生成一個數組,再把數組的數據生成一個有序的字符串
-
前半段的工作就做完了,接下來如果前端支付成功,支付寶會向我們預留好的回調接口發送一個POST請求,讓我們驗證用戶是否支付成功
- 將支付寶發送過來的數據生成一個有序的字符串
View Code
//將支付寶發來的數據生成有序數列 function getVerifyParams(params) { var sPara = []; if(!params) return null; for(var key in params) { if((!params[key]) || key == "sign" || key == "sign_type") { continue; }; sPara.push([key, params[key]]); } sPara = sPara.sort(); var prestr = ''; for(var i2 = 0; i2 < sPara.length; i2++) { var obj = sPara[i2]; if(i2 == sPara.length - 1) { prestr = prestr + obj[0] + '=' + obj[1] + ''; } else { prestr = prestr + obj[0] + '=' + obj[1] + '&'; } } return prestr; }
- 將獲取的數據進行hash然后根據公鑰進行對簽名的有效應驗證,返回true和false
View Code
//驗簽 function veriySign(params) { try { var publicPem = fs.readFileSync('./rsa_public_key.pem'); var publicKey = publicPem.toString(); var prestr = getVerifyParams(params); var sign = params['sign'] ? params['sign'] : ""; var verify = crypto.createVerify('RSA-SHA1'); verify.update(prestr); return verify.verify(publicKey, sign, 'base64') } catch(err) { console.log('veriSign err', err) } }
- 如果驗簽成功再生成支付寶通知url,來驗證是否是支付寶發來的通知(支付寶的驗證一大堆,腦殼都痛了),如果有數據則說明確實是支付寶發來的通知,這次交易有效
View Code
//回調驗簽 getAlipay: function(req, res) { console.log(req.body) var params = req.body var mysign = veriySign(params); //驗證支付寶簽名mysign為true表示簽名正確 console.log(mysign) try { //驗簽成功 if(mysign) { if(params['notify_id']) { var partner = AlipayConfig.partner; //生成驗證支付寶通知的url var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '¬ify_id=' + params['notify_id']; console.log('url:' + url) //驗證是否是支付寶發來的通知 https.get(url, function(text) { //有數據表示是由支付寶發來的通知 if(text) { //交易成功 console.log('success') } else { //交易失敗 console.log('err') } }) } } } catch(err) { console.log(err); } }
- 將支付寶發送過來的數據生成一個有序的字符串
這樣整個流程就跑完了,代碼原博客都有,這里最多只是有些改成了sails的寫法,主要寫一下這次遇到的幾個坑和值得注意的幾個地方
- 由於移動支付的文檔描述不清楚,私鑰其實上上傳到賬戶信息的mapi網管產品密鑰里:
而不是上傳到應用的密鑰里 -
移動支付只支持RSA(SHA1)
-
./是在sails里獲取的到根目錄下的密鑰(有點搞不懂sails的這個路徑)
-
生成訂單時候的有序字符串格式是body="測試" ,有雙引號,但是驗簽生成的有序字符串里不能有雙引號