支付宝接口加签方式说明

接口加签方式，是指应用在调用支付宝 OpenAPI 时，需要通过密钥或证书对消息内容进行加签、验签，从而保证双方通信消息的安全性和真实性。支付宝开放平台 SDK 封装了签名和验签过程，只需配置应用信息及密钥参数即可。【技术交流862297989】

名词解释

应用私钥：

用来给应用消息进行签名，请务必要妥善保管，避免遗失或泄露。

应用公钥：

需要提供给支付宝开放平台，平台会对应用发送的消息进行签名验证。

支付宝公钥：

应用收到支付宝发送的同步、异步消息时，使用支付宝公钥验证签名信息。

CSR 文件：

CSR 即证书签名请求（Certificate Signing Request），CSR 文件（.csr）是申请证书时所需要的一个数据文件。

应用公钥证书：

在开放平台上传 CSR 文件后可以获取 CA 机构颁发的应用证书文件（.crt），其中包含了组织/公司名称、应用公钥、证书有效期等内容，一般有效期为 5 年。

支付宝公钥证书：

用来验证支付宝消息，包含了支付宝公钥、支付宝公司名称、证书有效期等内容，一般有效期为 5 年。

支付宝根证书：

用来验证支付宝消息，包含了根 CA 名称、根 CA 的公钥、证书有效期等内容。

加签方式说明

主要分为以下两种加签方式

限制与要求

• 需要使用支付宝开放平台主账号进行配置。
• 一个应用（APPID）只能配置一种接口加签方式（密钥或证书）

加签与验签机制说明

商家在应用中使用自己的 私钥 对消息加签之后，消息和签名会传递给支付宝，支付宝则使用应用的 公钥/公钥证书 验证消息的真实性（来自于合法应用的真实消息）。
对于支付宝返回消息给商家应用的情形，应用则使用支付宝的 支付宝公钥 或 支付宝公钥证书及支付宝根证书 等来验证返回消息的真实性。