支付宝支付加密规则梳理,写的太好了!
Posted 码农突围
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了支付宝支付加密规则梳理,写的太好了!相关的知识,希望对你有一定的参考价值。
作者:叁滴水
博客:https://blog.csdn.net/qq_30285985/
前言
支付是一个安全等级很高的场景,系统间交互的每一条数据的泄露都有可能造成及其大的损失。因此支付时系统间交互的每一条数据都会采取加密措施。
这里梳理一下支付宝支付时用到的加密规则,请大家参考。
一、什么是签名?
在了解签名前,先回顾一下支付的交互流程。如上图所示,支付的过程中可以大概分为6个步骤。
这6个步骤中,最为重要的是步骤2和步骤6。拆解如下。
商家服务器和支付宝服务器交互的过程中传输的信息异常敏感,所以,在交互时必须防止中间人对于信息的篡改。例如步骤2将商品的金额改为0,支付宝就误认为是转账0元。
数字签名解决了交互时这一安全问题。它可以验证一条消息或者文档的真实性。在支付宝支付的接口中,有一个sign
参数用来填写签名。这个签名作用是为了防止信息伪造。通过这种方式可以有效的防止消息在传递过程中被篡改。
二、签名实现原理
2.1 签名原理
数字签名是一个信息安全的保障,它的实现依赖于双方系统的密钥。
签名过程如下:
验证签名(验签):
接收方接收文档并使用相同的散列算法独立计算文档散列。
接着,她使用公钥对消息进行解密,将散列解码出来,再确认使用的散列算法是否正确,解密出的散列是否与本地计算的相同。
2.2 非对称加密
支付宝采用RSA非对称加密对信息进行签名。
非对称加密是由一个公钥和一个私钥组成,一般代码中命名为public key
和private key
。非对称加密的特点是:私钥加密的信息只有公钥才能解密,公钥加密的信息只能有私钥才能解密。
支付宝的实现签名的方式也大致如此,支付宝在信息交互的时候两个很重要的名词支付宝公钥
和应用公钥
,这两个秘钥总是让人混淆。这是因为支付宝提供了两套RSA加密。一套是用来保证步骤2
统一下单接口时的信息安全,另一套是用来保证步骤6
回调时的信息安全。
推荐阅读:最新 Java 核心技术教程,都在这了!
如下图,步骤2商户服务器通过红色应用私钥(priv key 2
)计算签名,支付宝通过红色应用公钥(pub key 2
)进行验签;步骤6支付宝服务器通过蓝色支付宝私钥(priv key 6
)计算签名,商家通过蓝色支付宝公钥(pub key 6
)验证签名。
了解了签名计算原理之后,再去管理平台设置app信息的时候就游刃有余了,我以沙箱环境为例子。
如上图,说明使用RSA2
加密方式,HASH
算法采用SHA256
。进入设置之后要设置应用公钥
和保存支付宝公钥
。
应用公钥和应用私钥 这两个需要自己生成一对,保证步骤2的安全。生成方式跳转支付宝开放平台开发助手
支付宝公钥和支付宝私钥是支付宝提供的,私钥支付宝自己保留的,和自己服务器的应用私钥一样,人家不会提供出来。公钥复制下来用于在回调时进行签名的认证。
三、对称加密
签名虽然可以防止中间人的信息篡改,但是无法防止中间人信息查看。比如步骤2中,向支付宝发送的商品金额,中间人即可获取每天中该商家交易的金额。信息在网络中传输感觉是一个虚无缥缈的过程,网络中信息有可能被不法分子进行拦截。
因此在支付的过程中,会推荐使用https
协议进行交互,使得交互的信息加密传输。而且,支付宝的很多接口还支持使用AES
加密之后进行传输,使得信息更加安全。
推荐阅读:最新 Java 核心技术教程,都在这了!
AES加密是一种对称加密算法,对称加密算法相对于非对称加密要简单一点。系统间只存在一个密钥,这个密钥可以用来加密也可以用来解密。
在与支付宝交互的信息可以通过AES加密。防止信息的泄露,官方对接口的解释如下:
四、AES和RSA关系
AES 密钥是对接口请求和响应内容进行加密,密文无法被第三方识别,从而防止接口传输数据泄露。
RSA 密钥是对接口请求和响应内容进行签名,开发者和支付宝开放平台分别加签验签,以确认接口传输的内容没有被篡改。不论接口内容是明文还是密文,RSA 均可正常签名。
开发者可对请求参数先做 AES 加密,然后对密文进行 RSA 签名。
读到这里了,如果对你有帮助就留个赞吧。
- END -
最近热文• 一个月薪 12000 的北京程序员的真实生活 !• 8年开发,连登陆接口都写这么烂...• 国产Linux发行版再添一员,操作界面不输苹果!• IntelliJ IDEA 2020.2.4款 神级超级牛逼插件推荐• 重磅!阿里推出国产开源的jdk!
以上是关于支付宝支付加密规则梳理,写的太好了!的主要内容,如果未能解决你的问题,请参考以下文章