Java中的微信支付(2):API V3 微信平台證書的獲取與刷新
- 2020 年 10 月 30 日
- 筆記
1. 前言
在Java中的微信支付(1):API V3版本簽名詳解一文中胖哥講解了微信支付V3版本API的簽名,當我方(你自己的伺服器)請求微信支付伺服器時需要根據我方的API證書對參數進行加簽,微信伺服器會根據我方簽名驗簽以確定請求來自我方伺服器。那麼同樣的道理我方的伺服器也要對微信支付伺服器的響應進行鑒別來確定響應真的來自微信支付伺服器,這就是驗簽。驗簽使用的是【微信支付平台證書公鑰】,不是商戶API證書。使用商戶API證書是驗證不過的。今天就來分享一下如何獲得微信平台公鑰和動態刷新微信平台公鑰。
2. 獲取微信平台證書公鑰
微信平台證書是微信支付平台自己的證書,我們是管不了的,而且是有效期的。
微信伺服器會定期更換,所以也要求我方定期獲取公鑰。而且我們只能通過調用介面/v3/certificates來獲得,此介面也需要進行簽名(可參考上一篇文章)。你可以獲取證書後靜態放到伺服器上,手動更新靜態證書;也可以動態獲取一勞永逸。本文採取一勞永逸的辦法。
平台證書介面文檔://wechatpay-api.gitbook.io/wechatpay-api-v3/jie-kou-wen-dang/ping-tai-zheng-shu
3. 證書和回調報文解密
為了保證安全性,微信支付在回調通知和平台證書下載介面中,對關鍵資訊進行了AES-256-GCM加密。也就是說我們拿到響應的資訊是被加密的,需要解密後才能獲得真正的微信平台證書公鑰。響應體大致是這樣的,具體根據你調用平台證書介面,應該大差不差是下面這個結構:
{
"data": [
{
"effective_time": "2020-10-21T14:48:49+08:00",
"encrypt_certificate": {
// 加密演算法
"algorithm": "AEAD_AES_256_GCM",
// 附加數據包(可能為空)
"associated_data": "certificate",
// Base64編碼後的密文
"ciphertext": "",
// 加密使用的隨機串初始化向量)
"nonce": "88b4e15a0db9"
},
"expire_time": "2025-10-20T14:48:49+08:00",
// 證書序列號
"serial_no": "217016F42805DD4D5442059D373F98BFC5252599"
}
]
}
你可以使用各種JSON類庫取得下面方法的參數進行解密以獲取證書,同時這裡需要用到APIv3密鑰,通用的解密方式為:
/**
* 解密響應體.
*
* @param apiV3Key API V3 KEY API v3密鑰 商戶平台設置的32位字元串
* @param associatedData response.body.data[i].encrypt_certificate.associated_data
* @param nonce response.body.data[i].encrypt_certificate.nonce
* @param ciphertext response.body.data[i].encrypt_certificate.ciphertext
* @return the string
* @throws GeneralSecurityException the general security exception
*/
public String decryptResponseBody(String apiV3Key,String associatedData, String nonce, String ciphertext) {
try {
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
SecretKeySpec key = new SecretKeySpec(apiV3Key.getBytes(StandardCharsets.UTF_8), "AES");
GCMParameterSpec spec = new GCMParameterSpec(128, nonce.getBytes(StandardCharsets.UTF_8));
cipher.init(Cipher.DECRYPT_MODE, key, spec);
cipher.updateAAD(associatedData.getBytes(StandardCharsets.UTF_8));
byte[] bytes;
try {
bytes = cipher.doFinal(Base64Utils.decodeFromString(ciphertext));
} catch (GeneralSecurityException e) {
throw new IllegalArgumentException(e);
}
return new String(bytes, StandardCharsets.UTF_8);
} catch (NoSuchAlgorithmException | NoSuchPaddingException e) {
throw new IllegalStateException(e);
} catch (InvalidKeyException | InvalidAlgorithmParameterException e) {
throw new IllegalArgumentException(e);
}
}
回調的請求體也是此方法進行解密。
3. 動態刷新
然後就能拿到微信平台證書公鑰。然後你可以定義個Map,以證書的序列號為KEY,以證書為Value來動態刷新,關鍵偽程式碼:
// 定義全局容器 保存微信平台證書公鑰 注意執行緒安全
private static final Map<String, Certificate> CERTIFICATE_MAP = new ConcurrentHashMap<>();
// 下面是刷新方法 refreshCertificate 的核心程式碼
String publicKey = decryptResponseBody(associatedData, nonce, ciphertext);
final CertificateFactory cf = CertificateFactory.getInstance("X509");
ByteArrayInputStream inputStream = new ByteArrayInputStream(publicKey.getBytes(StandardCharsets.UTF_8));
Certificate certificate = null;
try {
certificate = cf.generateCertificate(inputStream);
} catch (CertificateException e) {
e.printStackTrace();
}
String responseSerialNo = objectNode.get("serial_no").asText();
// 清理HashMap
CERTIFICATE_MAP.clear();
// 放入證書
CERTIFICATE_MAP.put(responseSerialNo, certificate);
動態刷新的策略就很好寫了:
// 當證書容器為空 或者 響應提供的證書序列號不在容器中時 就應該刷新了
if (CERTIFICATE_MAP.isEmpty() || !CERTIFICATE_MAP.containsKey(wechatpaySerial)) {
refreshCertificate();
}
// 然後調用
Certificate certificate = CERTIFICATE_MAP.get(wechatpaySerial);
4. 總結
雖然驗簽你不做可以拿到其它介面的響應結果,但是從資金安全的角度來說這是十分必要的。同時因為微信平台證書不收我方控制,採取動態刷新也會更加方便,不必再擔心過期的問題。本文我們通過調用介面拿到密文並解密獲得證書。下一篇我們將通過獲得的證書進行簽名驗證來確保我們的響應是微信伺服器發過來的,請關註:碼農小胖哥 及時獲得相關的更新。
關注公眾號:Felordcn 獲取更多資訊
