关于集成支付宝SDK的开发

下载

首先，你要想找到这个SDK，都得费点功夫。如今的SDK改名叫移动支付集成开发包了，下载页面在 这里 的
“请点此下载集成开发包”

Baidu和Googlep排在前面的支付宝开放平台，里面的SDK已经是2年前的版本号了，并且还不支持64位架构。

文档

压缩包里有两个相关文档 ：

《支付宝钱包支付接口开发包2.0标准版.pdf》

《支付宝钱包支付接口开发包2.0标准版接入与使用规则.pdf》

iOS相关内容能够主要看第一个文档，第二个文档名字和里面写的不一样。内容事实上是个附录；文档里面多个平台都涉及到了。内容有些杂乱。

以下先解释下总体SDK的流程和要做的事，就好对症下药找文档内对应的内容了。

流程

摘自第一个文档《支付宝钱包支付接口开发包2.0标准版.pdf》

业务流程图

图中的“商户client”就是我们的iOSclient须要做的事情：

• 调用支付宝支付接口
• 处理支付宝返回的支付结果

在调用支付宝支付接口前，我们还须要先生成一个订单。文档中描写叙述时，是将这步也放在client来做了，但也能够在server端生成这个订单（图中支付宝会在支付成功后通知server端，所以在server端生成订单的话，你能够掌握全部订单。并且也会更安全）：

• 生成订单（能够在iOSclient内生成，也能够在server端生成）
• 调用支付宝支付接口，发送订单
• 处理支付宝返回的支付结果

事实上对于业务来说，这些步骤已经够了，可是有一个安全性问题。你肯定不希望你接收到的支付结果被截获改动，所以。这就须要在生成订单和处理支付结果的时候做一个安全性校验：

生成订单时对数据签名，收到支付结果时对数据进行签名验证。以检验数据是否被篡改过。

支付宝眼下仅仅支持採用RSA加密方式做签名验证。

RSA加密算法 除了可加解密外，还可用来作签名校验。

简单的说，RSA会生成一个私钥和一个公钥，私钥你应该独自保管，公钥你能够分发出去。

做签名验证时。你能够用私钥对须要传输的数据做签名加密，生成一个签名值。之后分发数据，接收方通过公钥对签名值做校验，假设一致则觉得数据无篡改。

详细到支付宝使用RSA做签名验证，就是在生产订单时，须要使用私钥生成签名值；在处理返回的支付结果时，须要使用公钥验证返回结果是否被篡改了。

详细须要对哪些值，如何生成签名。对哪些值最签名验证，能够在第一个文档中找找，后面我会简单提一下，但还是以文档或实践为准吧。

集成

清楚了流程后，就好理解怎么集成了。

支付SDK

假设仅仅须要发送订单和处理支付返回结果，仅仅须要加入AlipaySDK.bundle和AlipaySDK.framework即可了。

这里再吐槽下。之前用的旧版本号，和如今的版本号相比。还不光是把类名字给改了，原先是用的类方法，如今新版又给改成了单例了。。还真是任性啊，这要是哪家小厂的SDK。预计早被弃用了把。。

发送订单的方法：

- (void)payOrder:(NSString *)orderStr
      fromScheme:(NSString *)schemeStr
        callback:(CompletionBlock)completionBlock;

• 假设手机内没安装支付宝的app，会直接展现支付宝web支付界面。通过callback返回支付结果；
• 假设手机内安装了支付宝的app，会跳转到支付宝的app支付。然后通过openURL的回调返回支付结果。

支付宝的SDK仅仅给了一个处理返回结果的方法，而不像其它第三方的SDK提供一个处理openURL的方法，所以你须要通过DEMO或者在第二个文档里找到处理openURL的方式：

if ([url.host isEqualToString:@"safepay"]) {
[[AlipaySDK defaultService] processOrderWithPaymentResult:url
standbyCallback:^(NSDictionary *resultDic) {
          NSLog(@"result = %@",resultDic);
}]; }

SDK也提供了一个处理openURL返回结果的方法

- (void)processOrderWithPaymentResult:(NSURL *)resultUrl
                      standbyCallback:(CompletionBlock)completionBlock;

两个回调block都统一定义为typedef
void(^CompletionBlock)(NSDictionary *resultDic);，

返回了一个字典，可是SDK里全然没有提示有哪些key。。

你能够在文档里找到，或者自己实际试一下，返回的信息例如以下：

• resultStatus，状态码，SDK里没相应信息，第一个文档里有提到：
• • 9000 订单支付成功
  • 8000 正在处理中
  • 4000 订单支付失败
  • 6001 用户中途取消
  • 6002 网络连接出错
• memo， 提示信息。比方状态码为6001时。memo就是“用户中途取消”。但千万别全然依赖这个信息，假设未安装支付宝app。採用网页支付时。取消时状态码是6001，但这个memo是空的。

  。

  （当我发现这个问题的时候。我就决定，对于这么不靠谱的SDK。还是尽量靠自己吧。。）

• result。订单信息，以及签名验证信息。假设你不想做签名验证，那这个字段能够忽略了。。

假设你对支付的安全性不那么在意或重视的话。到这里就能够完毕支付宝的集成了。

假设想更加安全。还是须要添加以下的签名验证的。

签名验证

首先，RSA仅仅是一种算法。所以你能够使用不论什么一种开源的、或者自己去实现这个算法来实现签名和验证的目的。

在整个流程其中。由于涉及到了RSA公钥、私钥的生产，RSA的签名、验证签名。SHA1值的计算，base64和URL编码。所以支付宝用了一个开源的代码来统一解决这些问题，就是openssl（顺便再吐槽下，这DEMO里一放openssl。不知道又会引来多少公司的产品里使用openssl了，预计阿里自己也没少用，什么时候都能跟老罗、华为一样去赞助点呢。。）

假设你想省事。也用openssl，那你须要把这些东西都增加到项目中：DEMO中的openssl文件夹头文件，两个库文件libcrypto.a
libssl.a，DEMO里支付宝自己写的Util文件夹

订单签名

上面说了。订单签名应该用私钥，可是把私钥放到app里事实上本身就不安全，由于你的app是分发到用户手里的，私钥应该放在自己的手里。分发出去的应该是公钥。

所以私钥最好是放在自己的server上。订单加密这个工作放在server端来做，server将包括签名的订单信息返回给app，app再通过SDK发送给支付宝，这样会更安全些；并且server也能掌握全部的订单状况。

假设你非要将私钥集成到app里，那能够參考SDK的DEMO，由于这个DEMO就是在app本地通过私钥做的订单签名。。

支付结果签名验证

上面的回调block提到了返回的内容。返回的支付结果中的result字段里是带有订单信息和签名信息的，所以签名验证就是须要这个字段的值。

文档中有一个这个字段的样例。实际结果没有换行，我换一下行便于阅读：

partner="2088101568358171"&seller_id="xxx@alipay.com"&out_trade_no="0819145412-6177"&subject="測试"&body="測试測试"&total_fee="0.01"&notify_url="http://notify.msp.hk/notify.htm"&service="mobile.securitypay.pay"&payment_type="1"&_input_charset="utf-8"&it_b_pay="30m"&success="true"
&sign_type="RSA"
&sign="hkFZr+zE9499nuqDNLZEF7W75RFFPsly876QuRSeN8WMaUgcdR00IKy5ZyBJ4eldhoJ/2zghqrD4E2G2mNjs3aE+HCLiBXrPDNdLKCZ gSOIqmv46TfPTEqopYfhs+o5fZzXxt34fwdrzN4mX6S13cr3UwmEV4L3Ffir/02RBVtU="

总共分为三个部分

• 第一部分是订单信息，每一个字段的详细含义能够在文档里找。
• 中间sign_type是签名用的算法，文档里说了，眼下仅仅支持RSA；
• 最后的sign就是签名值。

验证的过程例如以下：

• 首先把订单信息和签名值分别提取出来（SDK竟然都不给处理好。。）
• • 订单信息就是sign_type的连字符&之前的全部字符串
  • 签名值是sign后面双引號内的内容。注意签名的结尾也是=，所以不要用split字符串的方式提取
• 假设你想简单，能够直接使用Util文件夹下的DataVerifier来作签名验证
• • - (BOOL)verifyString:(NSString *)string withSign:(NSString
*)signString;
  • 第一个參数就是订单信息，第二个參数就是签名值。

事实上不使用openssl，用其它第三方RSA的开源代码也是能够的。能够看下DEMO里openssl_wrapper的源代码和SDK的文档。

• 对于订单信息，先做一个base64编码（DEMO中这个还要调openssl来实现。。

  ），再计算SHA1的值（这个也能够全然不用openssl。苹果的库中都有的。

  。），然后再签名比对。

• 对于公钥。假设使用其它第三方代码，须要注意格式问题。支付宝的DEMO实现中，是把这个公钥又转回成openssl生成的本地文件格式，然后再写入本地文件。再让openssl读取出来使用。。

以上。就是支付宝 iOS SDK的一些介绍。

整体来说，我认为能靠自己处理的地方还是尽量不要依赖这个不太靠谱的SDK了。

。