支付宝相关概念

网站支付DEMO传送门:手机网站支付 DEMO | 网页&移动应用

RSA、加密加签、密钥

对称加密

对称加密:发送方和接收方用的是同一把密钥,存在问题:当某一方将密钥泄漏之后,发送的消息可以被截取获悉并且随意进行通信。

非对称加密

非对称加密:发送方和接收方使用的不是同一把密钥,发送方使用密钥A对明文进行加密,接收方使用密钥B对密文进行解密,然后接收方将回复的明文用密钥C进行加密,发送方使用密钥D进行解密。采用非对称加密的好处是:即使有密钥被泄漏也不能自由的通信。

公钥与私钥

  • 公钥和私钥是一个相对概念
  • 密钥的公私性是相对于生成者而言的。发送方通过密钥A对明文进行加密,密钥A是只有发送方自己知道的,接收方想要解密密文,就需要拿到发送方公布出来的密钥B。
    • 一对密钥生成后,保存在生产者手里的就是私钥(自己持有,不公开)
    • 生成者发布出去让大家用的就是公钥

此时:

  • 密钥A 和 密钥C 就是私钥,私钥用于加密,确保发送的消息不会被他人篡改
  • 密钥B 和 密钥D 就是公钥,公钥用于解密,可以暴露出去。

加密 和 数字签名

签名:为了防止中途传输的数据被篡改和使用的方便,发送方采用私钥生成明文对应的签名,此过程被成为加签。接收方使用公钥去核验明文和签名是否对应,此过程被成为验签。

支付宝支付流程

环境准备

本文对接使用的是支付宝的电脑网站支付,其它对接方式可做参考

接入分两种:

第一种是沙箱接入,主要针对个人用户,只需要有能正常使用的支付宝就可以完成接入,真实企业用户在开发过程种也可使用沙箱环境与线上数据隔离

第二种是常规接入,主要是针对企业用户,需要有营业执照;经过备案能正常访问的网站

沙箱环境下的准备

配置支付宝的沙箱环境

沙箱环境地址

使用支付宝的密钥生成工具生成密钥

异步验签

密钥生成工具下载地址

配置密钥

将支付宝密钥工具生成的应用公钥复制进加签内容配置中,会自动生成支付宝的公钥

这里需要获取的是支付宝的沙箱环境中的商户公钥与私钥以及支付宝的公钥

回到沙箱应用控制台,点击设置公钥(注意不是公钥证书)

将应用公钥输入到如图所示,获取到支付宝公钥

获取沙箱配置

进入 沙箱环境,点击沙箱账号

复制出需要的参数即可

安卓手机可以下载支付宝沙箱版测试使用

非沙箱环境下的准备

创建应用,获取参数:APPID(使用沙箱环境可跳过)

打开: 支付宝开放平台,选择网页/移动应用开发

==注意:==阿里的开放平台会有更新,排版可能会有差异

选择开发文档

点击开发

可以看到开发前的流程,如果是使用企业用户,还需要一个签约功能才能正常使用

点击创建应用,登录开放平台控制台

扫码登录

点击创建网页/移动应用

输入必填项后,确认创建

这里可以获取第一个需要的参数 :APPID,复制到文本种,保存

添加产品

添加完成后是为开通,需要后续签约应用

配置密钥,获取第二个参数:商户的私钥

本文使用的是密钥方式,如需使用企业对个人转账,如退款需使用证书模式

点击下载密钥生成器

安装完成后进入

点击生成密钥,然后复制公钥到支付宝页面
保存设置

第二个参数:商户的私钥需要复制出来 自己保留

支付宝网关

复制出来即可

生成参数密钥对

复制出来即可

绑定应用,获取参数:PID(使用沙箱环境可跳过)

进入商家服务平台

复制收单账号

上线应用(使用沙箱环境可跳过)

开放平台,控制台中找到应用,上线点击提交审核即可

签约(使用沙箱环境可跳过)

需上传企业营业执照等信息
前往商家中心—产品中心—电脑网站师傅

需要提交如下资料,

JAVA接入支付宝支付

统一下单接单(新版本的返回下单页面)

引入Alipay SDK

1
2
3
4
5
<dependency>
<groupId>com.alipay.sdk</groupId>
<artifactId>alipay-sdk-java</artifactId>
<version>4.31.72.ALL</version>
</dependency>

添加配置文件 alipay-sandbox.properties

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# 支付宝支付相关参数

# 应用ID ,APPID
alipay.app.id=2021000

# 商户PID
alipay.seller-id=208862198

# 支付宝网关
alipay.gateway-url=https://openapi.alipaydev.com/gateway.do

#商户私钥 RSA2私钥
alipay.merchant-private-key=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

# 支付宝公钥
alipay.alipay-public-key=/+BlPxc8HG/4p2r+Z4EIzU7gFKkuE1I2xnDdJ+Dm1l//vYsArvtNwIKpOr0/oNfsNLhxhrswX7WEW3tyQopEU//KAhTXpsT0KTeKo8dxpl4FOJ9jrnkdVnxg/I2xY/oM7LeGoREiecJulcCa5cZbEct1OdnLzeQVomLlXUhBXZWyx1OVyzaQDk+X+yA2VY90uPvFcqFRBR5k3Y3fN7/39CTQvYWl+wvMcY4TFwO4j7hvLim9vgI3iyn2rOObMkGTJPlL9VNU5hBnRflBSjWAwIDAQAB

# 接口内容加密密钥 对此密钥
alipay.content-key=+ZyQ==

#页面跳转同步通知页面 测试地址 后期需要修改为实际地址
alipay.return-url=https://www.baidu.com/

封装签名过程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
import com.alipay.api.*;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.PropertySource;
import org.springframework.core.env.Environment;

import javax.annotation.Resource;

/**
* @author:xianyu
* @createDate:2022/7/30
* @description:
*/
@Configuration
@PropertySource("classpath:alipay-sandbox.properties")
public class AlipayClientConfig {

@Resource
private Environment config;

@Bean
public AlipayClient alipayClient() throws AlipayApiException {
AlipayConfig alipayConfig = new AlipayConfig();
//设置网关地址
alipayConfig.setServerUrl(config.getProperty("alipay.gateway-url"));
//设置应用ID
alipayConfig.setAppId(config.getProperty("alipay.app.id"));
//设置应用私钥
alipayConfig.setPrivateKey(config.getProperty("alipay.merchant-private-key"));
//设置请求格式,固定值json
alipayConfig.setFormat(AlipayConstants.FORMAT_JSON);
//设置字符集
alipayConfig.setCharset(AlipayConstants.CHARSET_UTF8);
//设置支付宝公钥
alipayConfig.setAlipayPublicKey(config.getProperty("alipay.alipay-public-key"));
//设置签名类型
alipayConfig.setSignType(AlipayConstants.SIGN_TYPE_RSA2);
//构造client
AlipayClient alipayClient = new DefaultAlipayClient(alipayConfig);

return alipayClient;
}
}

编写demo
controller层

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
import com.mcsgis.saas.yun.service.AlipayNewService;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

/**
* @author:xianyu
* @createDate:2022/7/30
* @description:
*/
@CrossOrigin
@RestController
@RequestMapping("/yun")
@Api(tags = "网站支付宝支付")
@Slf4j
public class AlipayController {

@Autowired
private AlipayNewService alipayService;

@ApiOperation("统一收单下单并支付接口调用")
@GetMapping("/scanPay")
public String tradePagePay() throws Exception {
log.info("统一收单下单并支付接口调用");
/*
支付宝开放平台接收 request 请求对象后
会为开发者生成一个html形式的form表单,包含自动提交的脚本
*/
String formStr = alipayService.tradeCreate();
/*
将form表单字符串返回给前端
前端自动提交脚本
表单会自动提交到 action熟悉只想的支付宝开放平台中 为用户展示一个支付页面
*/

return formStr;
}
}

service

1
2
3
4
5
6
7
8
9
10
11
12
13
/**
* @author:xianyu
* @createDate:2022/8/1
* @description:
*/
public interface AlipayNewService {

/**
* 支付宝开放平台接收 request请求对象后
* @return
*/
String tradeCreate() throws Exception;
}

serviceImpl

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
import com.alipay.api.AlipayClient;
import com.alipay.api.domain.AlipayTradePagePayModel;
import com.alipay.api.request.AlipayTradePagePayRequest;
import com.alipay.api.response.AlipayTradePagePayResponse;
import com.mcsgis.saas.yun.service.AlipayNewService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.configurationprocessor.json.JSONObject;
import org.springframework.core.env.Environment;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

/**
* @author:xianyu
* @createDate:2022/8/1
* @description:
*/
@Slf4j
@Service
public class AlipayNewServiceImpl implements AlipayNewService {

@Autowired
private AlipayClient alipayClient;

@Autowired
private Environment config;

@Override
@Transactional
public String tradeCreate() throws Exception {

AlipayTradePagePayRequest request = new AlipayTradePagePayRequest();
//支付宝公共参数
//request.setNotifyUrl("");
request.setReturnUrl(config.getProperty("alipay.return-url"));

//原始方式封装业务参数
JSONObject bizContent = new JSONObject();
bizContent.put("out_trade_no", "20220801113100005");
bizContent.put("total_amount",100 );
bizContent.put("subject", "玛莎拉蒂");
bizContent.put("product_code", "FAST_INSTANT_TRADE_PAY");

//面向对象封装业务参数
AlipayTradePagePayModel model =new AlipayTradePagePayModel();
model.setOutTradeNo("20220801113100005");
model.setTotalAmount("100");
model.setSubject("玛莎拉蒂");
model.setProductCode("FAST_INSTANT_TRADE_PAY");

//bizContent.put("time_expire", "2022-08-01 22:00:00");

商品明细信息,按需传入
//JSONArray goodsDetail = new JSONArray();
//JSONObject goods1 = new JSONObject();
//goods1.put("goods_id", "goodsNo1");
//goods1.put("goods_name", "子商品1");
//goods1.put("quantity", 1);
//goods1.put("price", 0.01);
//goodsDetail.add(goods1);
//bizContent.put("goods_detail", goodsDetail);

扩展信息,按需传入
//JSONObject extendParams = new JSONObject();
//extendParams.put("sys_service_provider_id", "2088511833207846");
//bizContent.put("extend_params", extendParams);

//request.setBizContent(bizContent.toString());
request.setBizModel(model);
//执行请求,调用支付宝
AlipayTradePagePayResponse response = alipayClient.pageExecute(request);
if (response.isSuccess()) {
log.info("调用成功,返回结果:[{}]",response.getBody());
return response.getBody();
} else {
log.info("调用失败!!");
}
return null;
}
}

这里的返回值是一个自动提交的form表单,测试时不能使用postman,需要用浏览器测试

浏览器输入url地址

自动跳转到扫码支付

支付回调

对于手机网站支付产生的交易,支付宝会根据原始支付 API 中传入的异步通知地址 notify_url,通过 POST 请求的形式将支付结果作为参数通知到商户系统。

文档参考:https://opendocs.alipay.com/open/203/105286/

Ngrok

配置文件里面加上 alipay.notify-url ,如果是内网开发,可以使用ngrok进行内网穿透
**ngrok官网**,下载之后,解压

点击运行

看官网的操作流程 80是指定的端口,可以按需修改

ngrok config add-authtoken 2CkM5EH6uj3nZwfIWdyxNXZ3Pb2_86cjLwcfPir1qkiGNRjhv
ngrok http 80

1
alipay.notify-url=https://f12d-171-113-169-92.jp.ngrok.io/yun/tradeNotify

这个是国外的,官网可能有点慢

回调controller

1
2
3
4
5
6
7
8
9
10
11
12
/**
* 支付宝回调
*
* @param params
* @return
*/
@ApiOperation("交易通知")
@PostMapping("/tradeNotify")
public String tradeNotify(@RequestParam Map<String, String> params) {
log.info("支付通知,正在执行,通知参数:{}", JSON.toJSONString(params));
return alipayService.tradeNotify(params);
}

service

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
@Override
public String tradeNotify(Map<String, String> params) {
String result = "failure";
try {
//异步通知验签
boolean signVerified = AlipaySignature.rsaCheckV1(params,
config.getProperty("alipay.alipay-public-key"),
AlipayConstants.CHARSET_UTF8,
AlipayConstants.SIGN_TYPE_RSA2);
if (!signVerified) {
// TODO 验签失败则记录异常日志,并在response中返回failure.
log.error("支付成功,异步通知验签失败!");
return result;
}
log.info("支付成功,异步通知验签成功!");
//TODO 验签成功后,按照支付结果异步通知中的描述,对支付结果中的业务内容进行二次校验
//1.验证out_trade_no 是否为商家系统中创建的订单号
String outTradeNo = params.get("out_trade_no");
//2.判断 total_amount 是否确实为该订单的实际金额
String totalAmount = params.get("total_amount");
//3.校验通知中的 seller_id是否为 out_trade_no 这笔单据的对应的操作方
String sellerId = params.get("seller_id");
if (!sellerId.equals(config.getProperty("alipay.seller-id"))) {
log.error("商家PID校验失败");
return result;
}
//4.验证 app_id 是否为该商家本身
String appId = params.get("app_id");
if (!appId.equals(config.getProperty("alipay.app.id"))){
log.error("app_id校验失败");
return result;
}
//在支付宝的业务通知中,只有交易通知状态为 TRADE_SUCCESS 或 TRADE_FINISHED 时,支付宝才会认定为买家付款成功
String tradeStatus = params.get("trade_status");
if (!"TRADE_SUCCESS".equals(tradeStatus) && !"TRADE_FINISHED".equals(tradeStatus)){
log.error("支付未成功");
return result;
}

//TODO 处理自身业务


result = "success";
} catch (AlipayApiException e) {
e.printStackTrace();
}

return result;
}

到这里基本的支付业务需求就能满足了