目录
2、下面是Java 接入过程:
3、敏感信息加解密
4、demo参考
5、回调通知解密算法(AEAD_AES_256_GCM)
1、官方文档
https://wechatpay-api.gitbook.io/wechatpay-api-v3/
第一步: 阅读微信支付分给的接口规则 说明: https://wechatpay-api.gitbook.io/wechatpay-api-v3/
第二步: 微信支付API v3要用第三方CA的证书 所以涉及到 API证书升级
新接入商户请参考什么是API证书?如何获取API证书?。
已经接入并使用微信支付颁发证书的商户请参考微信支付API证书升级指引(技术人员)。
API v3已不支持使用微信支付颁发的证书。
商户升级API证书时,需要完成三个步骤:
①:商户号的超级管理员到商户平台升级证书,获取到权威CA颁发的API证书。 (查看指引)
②:超级管理员将权威CA颁发的API证书(共包含三个文件: 证书pkcs12格式、证书pem格式、证书密钥pem格式)转交给技术人员。
③:技术人员用新证书文件替换服务器上原微信支付颁发的API证书,无需对现有系统进行代码修改。
(注意)这里升级API证书不影响原有的 API 密钥 代码不需要做改动直接替换 apiclient_cert.p12文件即可
第三步: 拿到API证书和密钥文件.
第四步: 引入微信支付API v3的Apache HttpClient装饰器: GitHub 地址
注意: 微信支付API v3的Apache HttpClient扩展,实现了请求签名的生成和应答签名的验证。如不想使用次封装客户端 可自己实现 签名和应答解密过程.
相关maven依赖
com.xiaomi.wechatpay-apiv3
wechatpay-apache-httpclient
0.1.6
第五步: 请求微信支付分API前准备
//微信支付商户开通后 微信会提供appid
public String appId;
//微信支付商户开通后 微信会提供appSecret
public String appSecret;
//商户号
public String mchId;
//32位的api密钥,微信商户平台-账户设置-安全设置-api安全 密钥 用于拉起支付签名
public String partnerkey;
//openId 是微信用户针对公众号的标识,授权的部分这里不解释
public String openId;
//微信支付成功后异步通知地址 必须要求80端口并且地址不能带参数
public String notifyUrl;
//微信支付成功后同步通知地址 必须要求80端口并且地址不能带参数
public String returnUrl;
//证书apiclient_cert.p12文件位置 可加载
public String certPath;
//微信支付分 分配的服务 ID
public String serviceId;
//v3接口 CA证书 apiclient_key.pem私钥内容
public String privateKey;
//v3接口 CA证书 apiclient_cert.pem证书内容
public String certificate;
// APIv3密钥 32 位
public String AES_KEY = "xxx";
//商户证书序列号 CA证书 可查看微信商户平台-账户设置-安全设置-api安全密钥
public String MC_HSERIAL_NO = "xxxxx";
https://wechatpay-api.gitbook.io/wechatpay-api-v3/qian-ming-zhi-nan-1/min-gan-xin-xi-jia-mi
使用AES-256-GCM,对回调中的关键信息进行加密保护
建议从Verifier中获得微信支付平台证书,或使用预先下载到本地的平台证书文件中
X509Certificate wechatpayCertificate = verifier.getValidCertificate();
privateKey 为 v3接口 CA证书 apiclient_key.pem私钥内容
将String类型的privateKey 转化为PrivateKey类型
PrivateKey merchantPrivateKey = PemUtil.loadPrivateKey(new ByteArrayInputStream(privateKey.getBytes("utf-8")));
构建httpClient,需要设置微信支付平台证书。
CloseableHttpClient httpClient = WechatPayHttpClientBuilder.create()
.withMerchant(mchId, mchSerialNo, merchantPrivateKey)
.withWechatpay(wechatpayCertificates) // 加载证书
.build();
在第一次下载平台证书时,按照下述方法临时"跳过”应答签名的验证
CloseableHttpClient httpClient = WechatPayHttpClientBuilder.create()
.withMerchant(mchId, mchSerialNo, merchantPrivateKey)
.withValidator(response -> true) // NOTE: 设置一个空的应答签名验证器,**不要**用在业务请求
.build();
get请求
URIBuilder uriBuilder = new URIBuilder(USER_SERVICE_STATE_URL);
uriBuilder.setParameter("service_id", yourServiceIdxxx);
uriBuilder.setParameter("appid", yourAppIdxxx);
uriBuilder.setParameter("openid", userOpenIdxxx);
CloseableHttpResponse response=null;
try {
HttpGet httpGet = new HttpGet(uriBuilder.build());
httpGet.addHeader("Accept", "application/json");
// NOTE: 建议指定charset=utf-8。低于4.4.6版本的HttpCore,不能正确的设置字符集,可能导致签名错误
response = getHttpDefaultClient().execute(httpGet);
if(response.getStatusLine().getStatusCode() == HttpStatus.SC_OK){
String result = EntityUtils.toString(response.getEntity());// 返回json格式:
return JSONObject.parseObject(result);
}else {
String result = EntityUtils.toString(response.getEntity());// 返回json格式:
log.info("微信支付V3 url={} result={} responseEntity={}",uriBuilder.build(), result,JSON.toJSONString(response.getEntity()));
}
} catch (Exception e) {
log.error("微信支付V3 请求url={}异常 ",uriBuilder.build());
}finally {
if(null!=response){
response.close();
}
}
post请求
HttpPost httpPost = new HttpPost(PAYSCORE_PAYAFTER_ORDERS_URL);
StringEntity reqEntity = new StringEntity(JSONObject.toJSONString(payAfterOrdersModel), ContentType.create("application/json", "utf-8"));
httpPost.setEntity(reqEntity);
httpPost.addHeader("Accept", "application/json");
httpPost.addHeader("Content-Type", "application/json");
CloseableHttpResponse response = httpClient.execute(httpPost);
try {
if(response.getStatusLine().getStatusCode() == HttpStatus.SC_OK){
String result = EntityUtils.toString(response.getEntity());// 返回json格式:
log.info("微信支付V3 url={} result={} ",url,result);
return JSONObject.parseObject(result);
}else {
String result = EntityUtils.toString(response.getEntity());// 返回json格式:
log.info("微信支付V3 url={} result={} response.getEntity()={}",url,result,JSON.toJSONString(response.getEntity()));
}
} catch (Exception e) {
log.error("微信支付V3 请求url={} 参数={} 异常 e={}",url, JSON.toJSONString(json),e.getMessage());
}finally {
response.close();
}
官方DEMO参考: https://github.com/wechatpay-apiv3/wechatpay-apache-httpclient/blob/master/src/test/java/com/wechat/pay/contrib/apache/httpclient/HttpClientBuilderTest.java
下面我们对resource部分进行解密,解密算法如下:
package com.wsw.sdk.utils;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.security.InvalidAlgorithmParameterException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;
import javax.crypto.Cipher;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.SecretKeySpec;
public class WxAPIV3AesUtil {
static final int KEY_LENGTH_BYTE = 32;
static final int TAG_LENGTH_BIT = 128;
private final byte[] aesKey;
public WxAPIV3AesUtil(byte[] key) {
if (key.length != KEY_LENGTH_BYTE) {
throw new IllegalArgumentException("无效的ApiV3Key,长度必须为32个字节");
}
this.aesKey = key;
}
public String decryptToString(byte[] associatedData, byte[] nonce, String ciphertext)
throws GeneralSecurityException, IOException {
try {
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
SecretKeySpec key = new SecretKeySpec(aesKey, "AES");
GCMParameterSpec spec = new GCMParameterSpec(TAG_LENGTH_BIT, nonce);
cipher.init(Cipher.DECRYPT_MODE, key, spec);
cipher.updateAAD(associatedData);
return new String(cipher.doFinal(Base64.getDecoder().decode(ciphertext)), "utf-8");
} catch (NoSuchAlgorithmException | NoSuchPaddingException e) {
throw new IllegalStateException(e);
} catch (InvalidKeyException | InvalidAlgorithmParameterException e) {
throw new IllegalArgumentException(e);
}
}
}
调用示例:
//解密回调信息
byte[] key = SystemConst.WX_KEY.getBytes("UTF-8");
WxAPIV3AesUtil aesUtil = new WxAPIV3AesUtil(key);
String decryptToString = aesUtil.decryptToString(assc.getBytes("UTF-8"),noce.getBytes("UTF-8"),cip);