允许我吹个NB吧!
支付宝支付集成的时候其实是有很多坑的,很多不安全因素在里面,最近在做支付宝集成的坑做个总结
- 公钥,订单信息,需要服务器来返回,官方demo是客户端生成的订单信息.
- 客户端不能直接返回9000就说明支付成功
- 验签的坑
- 检验参数的合法性
以上四点全部处理了,集成支付宝才是安全的.
这里我只写关键的伪代码
1.公钥,订单信息,需要服务器来返回
1.首先我们需要发起一个支付宝预支付请求,请求参数如下:
body.put("loginUserId", params.loginUserId);
body.put("password",params.password);
body.put("app_id", params.app_id);
body.put("subject", params.subject);
body.put("body", params.body);
body.put("out_trade_no", params.out_trade_no);
body.put("total_amount", params.total_amount);
body.put("business", params.business);
body.put("employeeId", params.employeeId);
2.然后从服务器返回的数据有
public String orderParam ;//string 是 支付参数字符串,我们需要把这个数据提交给支付
public String alipayPublicKey;// string 是 支付宝公钥
public String sellerId;// string 是 支付宝注册的卖方Id
public String appId;// string 是 支付宝注册的应用Id
3.支付宝预支付成功后,发起支付宝支付操作
if (result.getSuccess()) {
mPreBean = JSON.parseObject(result.getBody(), AliPayPrePayBean.class);
Runnable payRunnable = new Runnable() {
@Override
public void run() {
// 构造PayTask 对象
PayTask alipay = new PayTask(mActivity);
// 调用支付接口,获取支付结果
String resultStr = alipay.pay(mPreBean.orderParam, true);
Message msg = new Message();
msg.what = SDK_PAY_FLAG;
msg.obj = resultStr;
mHandler.sendMessage(msg);
}
};
// 必须异步调用
Thread payThread = new Thread(payRunnable);
payThread.start();
}
2.客户端返回9000不能直接说明支付成功
我这里上一下代码:
switch (msg.what) {
case SDK_PAY_FLAG: {
LogUtils.i("--------------" + msg.obj);
PayResult payResult = new PayResult((String) msg.obj);
// 支付宝返回此次支付结果及加签,建议对支付宝签名信息拿签约时支付宝提供的公钥做验签
String result = payResult.getResult();
String resultStatus = payResult.getResultStatus();
// 判断resultStatus 为“9000”则代表支付成功,具体状态码代表含义可参考接口文档,且进一步检验订单的合法性
if ("9000".equals(resultStatus)) {
if (!checkSignInfo(result) || !checkInfoRight(result)) {
BToast.show(mActivity, "非法支付!");
payCallback.payFail();
return;
}
payCallback.paySuccess();
} else {
BToast.show(mActivity, payResult.getMemo());
payCallback.payFail();
}
break;
}
case SDK_CHECK_FLAG: {
BToast.show(mActivity, "检查结果为:" + msg.obj);
break;
}
default:
break;
}
1.返回9000的时候不能就直接说明成功了,支付宝的demo有些坑爹,这里要注意,因为这里会有其它的插件来破解,能直接获取一个9000,导致1分钟能随意充钱进入你的平台.所以这里需要进行再次检验,这里支付宝官方也有说明 但文档也有些坑.
3.支付宝验签的坑
支付宝返回的数据中有一个叫alipay_trade_app_pay_response 字段值,里面的值必须按支付宝返回的的数据顺序来,一点也不能动,不要想用fastjson来处理了,应当直接用原生的json来处理,这样里面获取的数据顺序就不会被改变.这个时候才可以通过验签
代码如下:
注意这个包alipay-sdk-java20170117151523要导入.验签要用的
boolean isTrueSign = false;
try {
JSONObject object = new JSONObject(resultInfo);
String response = object.getString("alipay_trade_app_pay_response");
isTrueSign = AlipaySignature.rsa256CheckContent(response, resultBean.sign, mPreBean.alipayPublicKey, responseBean.charset);
} catch (JSONException e) {
e.printStackTrace();
} catch (AlipayApiException e) {
e.printStackTrace();
}
4.检验数据的合法性:
最后一步检验数据的合法性
private boolean checkInfoRight(String resultInfo) {
AliPayResultBean resultBean = JSON.parseObject(resultInfo, AliPayResultBean.class);
AliPayResultResponseBean responseBean = JSON.parseObject(resultBean.alipay_trade_app_pay_response,
AliPayResultResponseBean.class);
try {
if (params.out_trade_no.equals(responseBean.out_trade_no) &&
Float.parseFloat(params.total_amount) == Float.parseFloat(responseBean.total_amount) &&
mPreBean.sellerId.equals(responseBean.seller_id) &&
params.app_id.equals(responseBean.app_id)) {
return true;
}
} catch (Exception e) {
return false;
}
return false;
}
5.如果你的手机上没有安装支付宝客户端的坑
注意如果你的手机上没有安装支付宝客户端,也是可以支付的,但是如果你没有在你的清单文件上配置如下代码,就会出现支付失败。报4000错误,所以一定要加上以下代码。保证无论手机上是否有安装支付宝都能支付成功。