非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo

的文章,如果不是找到这篇文章我可能还要继续坑几天,代码也基本都是照着他的搬过来的,不过支付宝移动支付文档写的非常糟糕而且没有node的SDK和demo,写起来异常痛苦..好在找到了这篇文章顺便折腾了一下午支付宝的技术人员总算把移动支付整个流程给做完了,所以就顺便记录一下自己遇到的坑,和对移动支付整个流程的梳理。

支付宝给的流程图还是很清晰的,其实基本流程就是

  1. 用户向服务器请求一个付款
  2. 服务器生成一个带签名的订单发送给客户端
  3. 客户端通过这个订单向app sdk请求付款
  4. sdk把用户引入支付宝付款界面进行支付
  5. 支付成功后支付宝向前端返回支付成功结果,并且向服务器发送一个支付通知
  6. 服务器接收通知并且验证是否是支付宝发送的成功结果

app客户端需要做的很简单:

  1. 向自己的服务器请求一个订单,
  2. 接收到订单后,向支付宝sdk发情一个支付请求
  3. 交易结束后返回一个成功或者失败

服务器做的事情稍微多一点(注意:服务端需要存放应用的私钥进行签名,还有支付宝的公钥进行验签):

  1. 接收到客户端请求时候,生成一个带签名订单返回给客户端,中间的步奏有
    1. 把相应的配置数据生成一个数组,再把数组的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将这组支付串进行RSA-SHA1算法,得到的结果再与存在服务端的私钥进行签名 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 有序的字符串+得到的签名+签名方法就是生成的订单,将这组订单返回给客户端 
      //发送订单号
      
    sendAlipay: function(req, res) {
      
        var code = ""
      
        for(var i = 0; i < 4; i++) {
      
            code += Math.floor(Math.random() * 10);
      
        }

        //订单号暂时由时间戳与四位随机码生成
      
        AlipayConfig.out_trade_no = Date.now().toString() + code;
      
        var myParam = getParams(AlipayConfig);
      
        var mySign = getSign(AlipayConfig)
      
        var last = myParam + '&sign="' + mySign + '"&sign_type="RSA"';
      
        console.log(last)
      
        return res.send(last)
      
    }

  2. 前半段的工作就做完了,接下来如果前端支付成功,支付宝会向我们预留好的回调接口发送一个POST请求,让我们验证用户是否支付成功

    1. 将支付宝发送过来的数据生成一个有序的字符串

      //将支付宝发来的数据生成有序数列
      
function getVerifyParams(params) {
      
    var sPara = [];
      
    if(!params) return null;
      
    for(var key in params) {
      
        if((!params[key]) || key == "sign" || key == "sign_type") {
      
            continue;
      
        };
      
        sPara.push([key, params[key]]);
      
    }
      
    sPara = sPara.sort();
      
    var prestr = '';
      
    for(var i2 = 0; i2 < sPara.length; i2++) {
      
        var obj = sPara[i2];
      
        if(i2 == sPara.length - 1) {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '';
      
        } else {
      
            prestr = prestr + obj[0] + '=' + obj[1] + '&';
      
        }
      
    }
      
    return prestr;
      
}
    2. 将获取的数据进行hash然后根据公钥进行对签名的有效应验证,返回true和false 
      //验签
      
function veriySign(params) {
      
    try {
      
        var publicPem = fs.readFileSync('./rsa_public_key.pem');
      
        var publicKey = publicPem.toString();
      
        var prestr = getVerifyParams(params);
      
        var sign = params['sign'] ? params['sign'] : "";
      
        var verify = crypto.createVerify('RSA-SHA1');
      
        verify.update(prestr);
      
        return verify.verify(publicKey, sign, 'base64')

    } catch(err) {
      
        console.log('veriSign err', err)
      
    }
      
}
    3. 如果验签成功再生成支付宝通知url,来验证是否是支付宝发来的通知(支付宝的验证一大堆,脑壳都痛了),如果有数据则说明确实是支付宝发来的通知,这次交易有效 
      //回调验签
      
    getAlipay: function(req, res) {
      
        console.log(req.body)
      
        var params = req.body
      
        var mysign = veriySign(params);
      
        //验证支付宝签名mysign为true表示签名正确
      
        console.log(mysign)
      
        try {
      
            //验签成功
      
            if(mysign) {
      
                if(params['notify_id']) {
      
                    var partner = AlipayConfig.partner;
      
                    //生成验证支付宝通知的url
      
                    var url = 'https://mapi.alipay.com/gateway.do?service=notify_verify&' + 'partner=' + partner + '&notify_id=' + params['notify_id'];
      
                    console.log('url:' + url)
      
                    //验证是否是支付宝发来的通知
      
                    https.get(url, function(text) {
      
                        //有数据表示是由支付宝发来的通知
      
                        if(text) {
      
                            //交易成功
      
                            console.log('success')
      
                        } else {
      
                            //交易失败
      
                            console.log('err')
      
                        }
      
                    })
      
                }
      
            }
      
        } catch(err) {
      
            console.log(err);
      
        }
      
    }

这样整个流程就跑完了,代码原博客都有,这里最多只是有些改成了sails的写法,主要写一下这次遇到的几个坑和值得注意的几个地方

  1. 由于移动支付的文档描述不清楚,私钥其实上上传到账户信息的mapi网管产品密钥里:而不是上传到应用的密钥里

  2. 移动支付只支持RSA(SHA1)

  3. ./是在sails里获取的到根目录下的密钥(有点搞不懂sails的这个路径)

  4. 生成订单时候的有序字符串格式是body="测试" ,有双引号,但是验签生成的有序字符串里不能有双引号

  

NodeJs支付宝移动支付签名及验签的更多相关文章

  1. 支付宝App支付签名和验签

    代码: using CMS.Utility.ReturnResult; using OAuthWebAPI.Package; using Common; using System; using Sys ...

  2. 微信,支付宝,支付异步通知验签,notify_url

    在支付接口开发中 ,当用户支付完成之后,阿里或者微信会向我们服务器发送一个支付结果的通知,里边带有一系列参数:其中特殊的是签名类型,和签名(他们根据这些参数做出来的签名). 我们的得到这些参数之后要去 ...

  3. Delphi支付宝支付【支持SHA1WithRSA(RSA)和SHA256WithRSA(RSA2)签名与验签】

    作者QQ:(648437169) 点击下载➨Delphi支付宝支付             支付宝支付api文档 [Delphi支付宝支付]支持条码支付.扫码支付.交易查询.交易退款.退款查询.交易撤 ...

  4. Delphi微信支付【支持MD5和HMAC-SHA256签名与验签】

    作者QQ:(648437169) 点击下载➨微信支付            微信支付api文档 [Delphi 微信支付]支持付款码支付.二维码支付.订单查询.申请退款.退款查询.撤销订单.关闭订单. ...

  5. .NET RSA解密、签名、验签

    using System; using System.Collections.Generic; using System.Text; using System.IO; using System.Sec ...

  6. PHP SHA1withRSA加密生成签名及验签

    最近公司对接XX第三方支付平台的代付业务,由于对方公司只有JAVA的demo,所以只能根据文档自己整合PHP的签名加密,网上找过几个方法,踩到各种各样的坑,还好最后算是搞定了,话不多说,代码分享出来. ...

  7. 中行P1签名及验签

    分享中国银行快捷.NET P1签名和验签方法代码中ReturnValue为自定义类型请无视 #region 验证签名 /// <summary> /// 验证签名 /// </sum ...

  8. 几个例子理解对称加密与非对称加密、公钥与私钥、签名与验签、数字证书、HTTPS加密方式

    # 原创,转载请留言联系 为什么会出现这么多加密啊,公钥私钥啊,签名啊这些东西呢?说到底还是保证双方通信的安全性与完整性.例如小明发一封表白邮件给小红,他总不希望给别人看见吧.而各种各样的技术就是为了 ...

  9. erlang的RSA签名与验签

    1.RSA介绍 RSA是目前最有影响力的公钥加密算法,该算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对 其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,即公钥,而 ...

随机推荐

  1. Python中的多进程与多线程(一)

    一.背景 最近在Azkaban的测试工作中,需要在测试环境下模拟线上的调度场景进行稳定性测试.故而重操python旧业,通过python编写脚本来构造类似线上的调度场景.在脚本编写过程中,碰到这样一个 ...

  2. 【探索】机器指令翻译成 JavaScript

    前言 前些时候研究脚本混淆时,打算先学一些「程序流程」相关的概念.为了不因太枯燥而放弃,决定想一个有趣的案例,可以边探索边学. 于是想了一个话题:尝试将机器指令 1:1 翻译 成 JavaScript ...

  3. C语言 · 矩形面积交

    问题描述 平面上有两个矩形,它们的边平行于直角坐标系的X轴或Y轴.对于每个矩形,我们给出它的一对相对顶点的坐标,请你编程算出两个矩形的交的面积. 输入格式 输入仅包含两行,每行描述一个矩形. 在每行中 ...

  4. 【声明】前方不设坑位,不收费!~ 我为NET狂官方学习计划

    发个通知,过段时间学习计划相关的东西就出来了,上次写了篇指引文章后有些好奇心颇重的人跟我说:“发现最近群知识库和技能库更新的频率有点大,这是要放大招的节奏啊!” 很多想学习却不知道如何规划的人想要一个 ...

  5. favicon.ioc使用以及注意事项

    1.效果 2.使用引入方法 2.1 注意事项:(把图标命名为favicon.ico,并且放在根目录下,同时使用Link标签,多重保险) 浏览器默认使用根目录下的favicon.ico 图标(如果你并没 ...

  6. 代码的坏味道(15)——冗余类(Lazy Class)

    坏味道--冗余类(Lazy Class) 特征 理解和维护类总是费时费力的.如果一个类不值得你花费精力,它就应该被删除. 问题原因 也许一个类的初始设计是一个功能完全的类,然而随着代码的变迁,变得没什 ...

  7. python中IndentationError: expected an indented block错误的解决方法

    IndentationError: expected an indented block 翻译为IndentationError:预期的缩进块 解决方法:有冒号的下一行要缩进,该缩进就缩进

  8. 如何使用swing创建一个BeatBox

    首先,我们需要回顾一些内容(2017-01-04 14:32:14): 1.Swing组件 Swing的组件(component,或者称之为元件),是较widget更为正确的术语,它们就是会放在GUI ...

  9. 浅谈Web自适应

    前言 随着移动设备的普及,移动web在前端工程师们的工作中占有越来越重要的位置.移动设备更新速度频繁,手机厂商繁多,导致的问题是每一台机器的屏幕宽度和分辨率不一样.这给我们在编写前端界面时增加了困难, ...

  10. BPM与 SAP & Oracle EBS集成解决方案分享

    一.需求分析 SAP和Oracle EBS都是作为全球顶级的的ERP产 品,得到了众多客户的青睐.然而由于系统庞大.价格昂贵以及定位不同,客户在实施过程中经常会面临以下困惑: 1.SAP如何实现&qu ...