1. 公钥、私钥、加密、签名和验签
公钥和私钥是一个相对概念它们的公私性是相对于生成者来说的。一对密钥生成后,保存在生成者手里的就是私钥,生成者发布出去大家用的就是公钥。
加密:
(1)我们使用一对公私钥中的一个密钥来对数据进行加密,而使用另一个密钥来进行解密的技术.
(2)公钥和私钥都可以用来加密,也都可以用来解密,但这个加解密必须是一对密钥之间的互相加解密,否则不能成功
(3)加密的目的是为了确保数据传输过程中的不可读性,就是不想让别人看到
签名:
(1)给我们将要发送的数据,做上一个唯一签名(类似于指纹);
(2)用来互相验证接收方和发送方的身份
(3)在验证身份的基础上再验证一下传递的数据是否被篡改过。因此使用数字签名可以用来达到数据的明文传输
验签:
(1)支付宝为了验证请求的数据是否商户本人发的
(2)商户为了验证响应的数据是否支付宝发的
对称加密与非对称加密
对称加密:发送方发送数据使用密钥A进行加密,通过网络传输到达接受方,接受方使用密钥A进行解密,双方使用同一把钥匙。弊端:当一方的密钥被泄露后都会影响完成的接收流程。
非对称加密:加密和解密使用不同的密钥。即使在网络传输中截取了一把钥匙,也不能模拟完整的发送流程,因为通信双方使用了4把不同的钥匙。
2. 支付过程中的数据发送过程
商户方发送数据到支付宝方,商户方自己保存一把私钥,把公钥提供给支付宝。发送方使用私钥先生成明文订单号和金额的签名,然后把明文数据订单号金额和签名发送到支付宝,当支付宝拿到数据后会先使用公钥对订单号和金额验证签名是否匹配,即使在网络传输中明文数据被篡改,支付宝拿到数据后也会验证签名不匹配。
支付宝验证通过后处理业务生成响应数据,也会使用自身的私钥对明文数据进行签名(加签),然后发送到商户方,商户使用支付宝提供的公钥对发送的明文数据进行验签,来验证数据的安全性。
3. 进入“蚂蚁金服开放平台”,在沙箱应用中获取appid,签名等信息
4. 支付宝支付流程
在支付成功后,支付宝跳转到同步回调地址,也会进行异步通知,所以要配置同步回调地址和异步回调地址。因为是支付宝方进行调用的,所以需要一个可以被外网访问的地址。可以使用内网穿透工具暴露一个公网地址。
常用的内网穿透工具:
(1)natapp:https://natapp.cn/
(2)续断:www.zhexi.tech
(3)花生壳:https://www.oray.com/
5. 实现
(1)在订单服务pom中引入支付依赖
<dependency>
<groupId>com.alipay.sdk</groupId>
<artifactId>alipay-sdk-java</artifactId>
<version>4.9.28.ALL</version>
</dependency>(2)在订单服务属性配置文件中进行支付宝相关配置
#支付宝相关的配置
alipay.app_id=2016102600009
alipay.merchant_private_key=MIIEvQIBADANBgkqhkiG9QEFAASCBKcwggSjAgEAAoIBAQCvZQ2XJ0kDOq4WiBoy2LCdgTdb5SMan7sFZtStjFmsqxoZuUd8ntuPikcZKXAAZcNcXDc99Ltkt+i2fMdzvg1Ung0cwKX6wqyBLU10lkMOUMs4hVl0MhW3Ihx8D9+kZIEg1yAbxuUrF8cV81Or+qxpnJ4iwNVwkOPrUOp0n8HTpVX1mjYYjkXhM/LtvVZ+IFc4yq+tVY0tTgsVPYcCtaKoYUzhSmncgkpjdMjthy4eTSje/hDMgnLFUsDs0cfdWLN8pVTxxiipr+Y/+Ax3mCfyBEtFuYn0OXKXXjHEp+WX/iQ6yqTdyhcYkxGWD4jIqP+g7mMrP7vKsbkquQOzxayTAgMBAAECggEACmL4mA/qgfdyocDzlDlC1ED3r0h1eLkm0R4S0Cg0k0YaqJVRR27835Y3uaS7jjp4hDqtxsx8YG2HqW7gPNlvXqhxbFd4PM5Uet3c7V+Mnwdn0XQMJRZmNM8fUrV57/lHsFMtApgXsCKbVpBvTwrsNODieHpk6WKbLK9BAyEG0Gqrv1xCTD55NDyr+mdKXINt5ZDaP8R2DeNrXrTrU7+qGsM7Qfsz8429egEZx/1LnCA7PeMRZvHsSex9KZtpaXYHFGMqgSAH93yKj+rW685+KwmGSK4q0ezfGtQR7V1T6r71inwR5dQzWyTyN1ZJw0ZVWroFgwUAOUvllN/ptkmKUQKBgQD0VpJvyIbRt3J2iyYnswB/tQMk5meqBuxN1oK9tirXBTyyqZaoTtk+Z49vqhSIU0yezW81htiuF5A/gepx2v4/IqtSqCKSyxqBfFwbxONuky9gHdM+I1XyazmtSbJz8vR9U/88O60Wm1vhIe+61tWh1eWIJ7IxhA11AswfhOYMuwKBgQC3xBnOECBsh9OLnhIm9PVVxF+IGQFshsmc6kdZlKO9KdDlEiOh+TMJwhMkBqAfRJTMaz8WxPL4met2ZUJL/cXfHgAmjDnGlN69lc4ELikEd3S5aB4AWVG4ybcaHsrhLqS16WSMU1kD9l5Y3q+pbiiMW8wWpCMxVstj1T3rn6cOCQKBgE0Wx0rXZJnkHAwEqPwbgMvKC3zn6Mr/Niz0wfki8W83qsffs7XUcrw6pkmfyqycQ29S94RW0CRVMOCol5RmeJLo2E7S112jEPDLkK/+NZdcfrT/k/dl5KcAZ4kh2Fi2zaaBCuUxGtIoIBvuvhkf0PUnbCzCAXmX5TsGr+o93usjAoGBAKZtEhW+Iy9HX73tPXFMnbe8LeybAOAhvgu/XTjy1cumSEp9QAocHy3yNtWErpVCziPH6Q4c9hNRip7iG8WoogBsMiS3EEgZYRR/zGGa0Ij8CpkzgyA7xDg/bvVX99MyI/ef1PEFNvPQtydzHdGrM0vSgyXqJvkzKuZSJE71exzJAoGAQcSJ+EtdoZpqe7bjNZ2IpgSCmE0ErYFVMT6IW95VcEXOciRhEYG3TQKYuhm0ZRN+D4DfZdL8vRRQ2YDMrK14UUXzp6TBI+yirTDfbK6LYpuOZqjcvxVFwF4tdI7/K7blNY4fbhApO/Nx5tUd8duErIznnDbFVBlBjl0JWYQdrN0=
alipay.alipay_public_key=MIIBIjANBgkqhkiG9w0BAAOCAQ8AMIIBCgKCAQEA3/IpQAsmsxozQkhGNY7aSrEtDQHjuNdhX9Z/zrZ+3aSC1gK2LS3EYXzzwFoDXMHRcTZajVqYPqKTnHWzx4lXDqJs8UlfcbSnJHEPVCGXqXl04WE9PXtcxicwNEUuDh6EeQu9GnOoBYQQiueKVK9NUdAr3UJyQF4eA45LCG0ZGNTHfqSJeLPzOcrcZglHY7NYXudxA8K7Xht1oA9laRFPmYgUNg9HuypGt1AwgOcDi9nrf1xrjeOTrPzKwLHoHp3fSTkm3GiAQZzwvkXDsK5Z99SinMyxgRze+ePiWmD01ArZXx+HNM5ZQw5dD+TLWO5qct4Yj16tE4GGCGfscfSJDwIDAQAB
alipay.notify_url=http://hjl.mynatapp.cc/payed/notify
alipay.return_url=http://member.gulimall.com/memberOrder.html
alipay.sign_type=RSA2
alipay.charset=utf-8
alipay.gatewayUrl=https://openapi.alipaydev.com/gateway.do(3)注入支付宝支付类
@ConfigurationProperties(prefix = "alipay")
@Component
@Data
public class AlipayTemplate {
// 应用ID,您的APPID,收款账号既是您的APPID对应支付宝账号
public String app_id;
// 商户私钥,您的PKCS8格式RSA2私钥
public String merchant_private_key;
// 支付宝公钥,查看地址:https://openhome.alipay.com/platform/keyManage.htm 对应APPID下的支付宝公钥。
public String alipay_public_key;
// 服务器[异步通知]页面路径 需http://格式的完整路径,不能加?id=123这类自定义参数,必须外网可以正常访问
// 支付宝会悄悄的给我们发送一个请求,告诉我们支付成功的信息
public String notify_url;
// 页面跳转同步通知页面路径 需http://格式的完整路径,不能加?id=123这类自定义参数,必须外网可以正常访问
//同步通知,支付成功,一般跳转到成功页
public String return_url;
// 签名方式
private String sign_type;
// 字符编码格式
private String charset;
//订单超时时间
private String timeout = "1m";
// 支付宝网关; https://openapi.alipaydev.com/gateway.do
public String gatewayUrl;
public String pay(PayVo vo) throws AlipayApiException {
//AlipayClient alipayClient = new DefaultAlipayClient(AlipayTemplate.gatewayUrl, AlipayTemplate.app_id, AlipayTemplate.merchant_private_key, "json", AlipayTemplate.charset, AlipayTemplate.alipay_public_key, AlipayTemplate.sign_type);
//1、根据支付宝的配置生成一个支付客户端
AlipayClient alipayClient = new DefaultAlipayClient(gatewayUrl,
app_id, merchant_private_key, "json",
charset, alipay_public_key, sign_type);
//2、创建一个支付请求 //设置请求参数
AlipayTradePagePayRequest alipayRequest = new AlipayTradePagePayRequest();
alipayRequest.setReturnUrl(return_url);
alipayRequest.setNotifyUrl(notify_url);
//商户订单号,商户网站订单系统中唯一订单号,必填
String out_trade_no = vo.getOut_trade_no();
//付款金额,必填
String total_amount = vo.getTotal_amount();
//订单名称,必填
String subject = vo.getSubject();
//商品描述,可空
String body = vo.getBody();
alipayRequest.setBizContent("{\"out_trade_no\":\""+ out_trade_no +"\","
+ "\"total_amount\":\""+ total_amount +"\","
+ "\"subject\":\""+ subject +"\","
+ "\"body\":\""+ body +"\","
+ "\"timeout_express\":\""+timeout+"\","
+ "\"product_code\":\"FAST_INSTANT_TRADE_PAY\"}");
String result = alipayClient.pageExecute(alipayRequest).getBody();
//会收到支付宝的响应,响应的是一个页面,只要浏览器显示这个页面,就会自动来到支付宝的收银台页面
System.out.println("支付宝的响应:"+result);
return result;
}
}(4)提交订单,选择支付宝进行支付后,会返回一个支付宝支付的页面,所以在接口返回设置响应的是text/html,非json
<li>
<img src="/static/order/pay/img/zhifubao.png" style="weight:auto;height:30px;" alt="">支付宝
<a th:href="'http://order.gulimall.com/aliPayOrder?orderSn='+${submitOrderResp.order.orderSn}">支付宝</a>
</li> @ResponseBody
@GetMapping(value = "/aliPayOrder",produces = "text/html")
public String aliPayOrder(@RequestParam("orderSn") String orderSn) throws AlipayApiException {
PayVo payVo = orderService.getOrderPay(orderSn);
String pay = alipayTemplate.pay(payVo);
// System.out.println(pay);
return pay;
}
@Override
public PayVo getOrderPay(String orderSn) {
PayVo payVo = new PayVo();
OrderEntity orderInfo = this.getOrderByOrderSn(orderSn);
//保留两位小数点,向上取值
BigDecimal payAmount = orderInfo.getPayAmount().setScale(2, BigDecimal.ROUND_UP);
payVo.setTotal_amount(payAmount.toString());
payVo.setOut_trade_no(orderInfo.getOrderSn());
//查询订单项的数据
List<OrderItemEntity> orderItemInfo = orderItemService.list(
new QueryWrapper<OrderItemEntity>().eq("order_sn", orderSn));
OrderItemEntity orderItemEntity = orderItemInfo.get(0);
payVo.setBody(orderItemEntity.getSkuAttrsVals());
payVo.setSubject(orderItemEntity.getSkuName());
return payVo;
}支付宝的响应:<form name="punchout_form" method="post" action="https://openapi-sandbox.dl.alipaydev.com/gateway.do?charset=utf-8&method=alipay.trade.page.pay&sign=sBMKcYkFT%2FVxgo3t9zgNCWoLcXc5Ye3UrZetBxYjJhC%2Bm6lsZzQnQnOevXWMoLdOvtZkeCcXBO9kV3rZ8aK8xvOMAjJIuc4OuC7U8aKYr9PfnLE6qItgzAnv8EPofdhKE0ZZmchdkK3ddQRr4%2FVD%2BOderwb89fLtmZ7Z3nng2QSLp2PRe8FD0QKNYxipkOz%2FBtYVk0%2FTvsQAHRRIAEOfpRAq8uRpbxr54x3bszB8O37t2hxj7bTp%2FYlSMD9t9IMIBOBBGH6VatQS2eQ7NkohQ9kzeYuxHNzqJE9CcKJ0B5nSwbz8M0okyVDAeQq%2FeIRHioTNWXYL7YF3u%2FdnuwWFCw%3D%3D&return_url=http%3A%2F%2Fmember.gulimall.com%2FmemberOrder.html¬ify_url=http%3A%2F%2Flocalhost%3A8081%2Fpayed%2Fnotify&version=1.0&app_id=9021000128654295&sign_type=RSA2×tamp=2023-09-17+22%3A30%3A58&alipay_sdk=alipay-sdk-java-dynamicVersionNo&format=json">
<input type="hidden" name="biz_content" value="{"out_trade_no":"202309172230533061703416236186017793","total_amount":"65.00","subject":"华为 HUAWEI Mate 30 Pro 星河银 8GB+256GB麒麟990旗舰芯片OLED环幕屏双4000万徕卡电影四摄4G全网通手机","body":"颜色:星河银;版本:8GB+256GB","timeout_express":"1m","product_code":"FAST_INSTANT_TRADE_PAY"}">
<input type="submit" value="立即支付" style="display:none" >
</form>
<script>document.forms[0].submit();</script>
(5)当使用沙箱账号支付成功后,会跳转到配置的return_url,同时也会异步调用notfy_url,所以需要订单列表接口return_url,和在支付成功后修改订单状态的异步回调地址notify_url。
@GetMapping(value = "/memberOrder.html")
public String memberOrderPage(@RequestParam(value = "pageNum",required = false,defaultValue = "0") Integer pageNum,
Model model, HttpServletRequest request) {
//获取到支付宝给我们转来的所有请求数据
//request,验证签名
//查出当前登录用户的所有订单列表数据
Map<String,Object> page = new HashMap<>();
page.put("page",pageNum.toString());
//远程查询订单服务订单数据
R orderInfo = orderFeignService.listWithItem(page);
System.out.println(JSON.toJSONString(orderInfo));
model.addAttribute("orders",orderInfo);
return "orderList";
} @PostMapping(value = "/payed/notify")
public String handleAlipayed(PayAsyncVo asyncVo, HttpServletRequest request) throws AlipayApiException, UnsupportedEncodingException {
// 只要收到支付宝的异步通知,返回 success 支付宝便不再通知
// 获取支付宝POST过来反馈信息
//TODO 需要验签
Map<String, String> params = new HashMap<>();
Map<String, String[]> requestParams = request.getParameterMap();
for (String name : requestParams.keySet()) {
String[] values = requestParams.get(name);
String valueStr = "";
for (int i = 0; i < values.length; i++) {
valueStr = (i == values.length - 1) ? valueStr + values[i]
: valueStr + values[i] + ",";
}
//乱码解决,这段代码在出现乱码时使用
// valueStr = new String(valueStr.getBytes("ISO-8859-1"), "utf-8");
params.put(name, valueStr);
}
boolean signVerified = AlipaySignature.rsaCheckV1(params, alipayTemplate.getAlipay_public_key(),
alipayTemplate.getCharset(), alipayTemplate.getSign_type()); //调用SDK验证签名
if (signVerified) {
System.out.println("签名验证成功...");
//去修改订单状态
String result = orderService.handlePayResult(asyncVo);
return result;
} else {
System.out.println("签名验证失败...");
return "error";
}
}
@Override
@Transactional
public String handlePayResult(PayAsyncVo asyncVo) {
//保存交易流水信息
PaymentInfoEntity paymentInfo = new PaymentInfoEntity();
paymentInfo.setOrderSn(asyncVo.getOut_trade_no());
paymentInfo.setAlipayTradeNo(asyncVo.getTrade_no());
paymentInfo.setTotalAmount(new BigDecimal(asyncVo.getBuyer_pay_amount()));
paymentInfo.setSubject(asyncVo.getBody());
paymentInfo.setPaymentStatus(asyncVo.getTrade_status());
paymentInfo.setCreateTime(new Date());
paymentInfo.setCallbackTime(asyncVo.getNotify_time());
//添加到数据库中
this.paymentInfoService.save(paymentInfo);
//修改订单状态
//获取当前状态
String tradeStatus = asyncVo.getTrade_status();
if (tradeStatus.equals("TRADE_SUCCESS") || tradeStatus.equals("TRADE_FINISHED")) {
//支付成功状态
String orderSn = asyncVo.getOut_trade_no(); //获取订单号
this.updateOrderStatus(orderSn,OrderStatusEnum.PAYED.getCode(), PayConstant.ALIPAY);
}
return "success";
}当使用内网穿透工具在访问异步回调地址时,会有请求的host不匹配的问题,所以需要在Nginx中重新配置请求头。
