支付宝沙箱
1.申请流程
支付宝开发平台 https://openhome.alipay.com/platform/appManage.htm#/apps
沙箱环境 : https://openhome.alipay.com/platform/appDaily.htm?tab=info
支付参数api: https://docs.open.alipay.com/api_1/alipay.trade.wap.pay
https://docs.open.alipay.com/
魔法隧道:http://www.mofasuidao.cn/rest/page/controlcenter
支付宝APPID:2021002192604172
支付宝网关:https://openapi.alipaydev.com/gateway.do
商家账号:yugfqg9981@sandbox.com
商户UID:2088621957065906
登录密码:111111
买家账号:brugrg4898@sandbox.com
登录密码:111111
支付密码:111111
2.加密算法
加密算法分类
密码安全、数据传输
1:单向不可逆加密(MD5,SHA1)
只能加密,不能解密 主要用于密码安全这块(所有的系统密码安全都是加密存储)。
明文(123456)---> 散列函数(hash)--->32位的字符串(0ef89gh67yyy.....)
但是在偶然情况下,出现了hash碰撞的问题,
可以通过加盐 来解决hash碰撞问题。
使用MD5加密+salt 可以保证安全
或者MD5加密之后截字符串。
2:对称加密算法(AES DES) 数据传输
双方使用同一把秘钥(加密)和(解密)
客户端
明文--->通过特定的秘钥进行加密---->加密存储的字符串
服务端
加密存储的字符串--->使用特定的秘钥进行解密---->明文
HTTPS协议数据传输采用的就是对称加密算法,证书验证采用的是rsa非对称加密
3:非对称加密算法(RSA ECC)
双方分别使用一对秘钥(公钥、私钥)
客户端
明文---->使用服务端的公钥进行加密----->数据到达服务端
---->服务端使用自己的私钥进行解密----->取到明文
明文----->服务端使用客户端的公钥进行加密------>数据到达客户端
----->客户端使用自己的私钥进行解密------>明文
使用场景验签:
因为非对称加密,只要能截取到一方的公钥(加密),就可以伪造一方发送假消息
假设a给B发消息,a用自己的私钥给消息加密,把这个内容发送给B,
这个内容就是签名的意思,a用B的公钥给消息加密,这个内容就是消息本身.
a会把签名和消息一并传给b。
b取到消息之后,用a的公钥对签名进行验证,这就是验签,b用自己的私钥进行解密,
取到a给b发的消息本身.
3.具体实现
<!--引入alipay的sdk -->
<dependency>
<groupId>com.alipay</groupId>
<artifactId>alipay-sdk-java</artifactId>
<version>3.3.0</version>
</dependency>
- 引入阿里沙箱支付的工具类AlipayConfig
//需要修改的属性
// 商户appid
public static String APPID = "2021000118643290";
// 私钥 pkcs8格式的
public static String RSA_PRIVATE_KEY =
// 请求网关地址
public static String URL="https://openapi.alipaydev.com/gateway.do";
// 支付宝公钥
public static String ALIPAY_PUBLIC_KEY =
// 服务器异步通知页面路径 需http://或者https://格式的完整路径,不能加?id=123这类自定义参数,必须外网可以正常访问
public static String notify_url = "http://jiba.free.svipss.top/orders/alipayNotify";
// 页面跳转同步通知页面路径 需http://或者https://格式的完整路径,不能加?id=123这类自定义参数,必须外网可以正常访问 商户可以自定义同步跳转地址
public static String return_url = "http://jiba.free.svipss.top/orders/alipayReturn";
- 修改过滤器,将同步回调请求和异步回调请求放过,使其可以进入
if (path.contains("/common")||path.contains("alipayNotify")||path.contains("alipayReturn")){
//请求公共资源
return true;
}
- 编写controller中的处理函数
//跳转到阿里支付页面,
@RequestMapping("/toAlipay")
public void toAlipay(int ordersId, HttpServletResponse response) throws AlipayApiException, IOException {
response.setContentType("text/html;charset=utf-8");
response.setCharacterEncoding("utf-8");
//创建alipay客户端
AlipayClient alipayClient = new DefaultAlipayClient(AlipayConfig.URL, AlipayConfig.APPID, AlipayConfig.RSA_PRIVATE_KEY, AlipayConfig.FORMAT, AlipayConfig.CHARSET, AlipayConfig.ALIPAY_PUBLIC_KEY, AlipayConfig.SIGNTYPE);
//支付宝交易网页支付请求,设置同步请求地址(执行完毕后返回的页面),异步请求地址(执行完毕后,将状态发送给服务器,服务器修改订单状态)
AlipayTradePagePayRequest alipayRequest = new AlipayTradePagePayRequest();
//同步回调地址
alipayRequest.setReturnUrl(AlipayConfig.return_url);
//异步回调地址
alipayRequest.setNotifyUrl(AlipayConfig.notify_url);
//查询订单,订单信息,用作商品展示
Orders orders = ordersService.selectByPrimaryKey(ordersId);
//拼接订单的详细信息 json,必须包含自己平台的订单号
String out_trade_no = orders.getOrdersNum();
//付款金额,必填
String total_amount = orders.getMoney()+"";
//订单名称,必填
String subject = "欢迎购物";
//商品描述,可空
String body = "商品";
//product_code 交易类型
alipayRequest.setBizContent("{\"out_trade_no\":\""+ out_trade_no +"\","
+ "\"total_amount\":\""+ total_amount +"\","
+ "\"subject\":\""+ subject +"\","
+ "\"body\":\""+ body +"\","
+ "\"product_code\":\"FAST_INSTANT_TRADE_PAY\"}");
//执行请求获取页面
String result = alipayClient.pageExecute(alipayRequest).getBody();
//输出流打印页面
response.getWriter().write(result);
}
//异步回调地址,传订单号,交易状态,用来修改平台订单状态
@RequestMapping("/alipayNotify")
public void alipayNotify(HttpServletRequest request,HttpServletResponse response){
//先取到支付宝的请求参数
Map<String, String> params = new HashMap<String, String>();
Map requestParams = request.getParameterMap();
for (Iterator iter = requestParams.keySet().iterator(); iter.hasNext(); ) {
String name = (String) iter.next();
String[] values = (String[]) requestParams.get(name);
String valueStr = "";
for (int i = 0; i < values.length; i++) {
valueStr = (i == values.length - 1) ? valueStr + values[i]
: valueStr + values[i] + ",";
}
params.put(name, valueStr);
}
//所有的请求参数都在params这个hashMap里
boolean verify_result = false;//验签结果
try {
verify_result = AlipaySignature.rsaCheckV1(params, AlipayConfig.ALIPAY_PUBLIC_KEY, AlipayConfig.CHARSET, AlipayConfig.SIGNTYPE);
if(verify_result){
//验签成功,获取支付状态
String trade_status=request.getParameter("trade_status");
if(trade_status.equals("TRADE_SUCCESS")){
//订单支付成功
String ordersNumber=request.getParameter("out_trade_no");
//更新数据库订单状态为已付款
ordersService.updateOrdersStatusPaied(ordersNumber);
}
}else{
//验签失败
try {
response.sendRedirect(request.getContextPath()+"/common/noauth");
} catch (IOException e) {
e.printStackTrace();
}
}
} catch (AlipayApiException e) {
e.printStackTrace();
}
}
//同步回调地址
@RequestMapping("/alipayReturn")
public String alipayReturn(HttpServletRequest request,HttpServletResponse response){
//先取到支付宝的请求参数
Map<String, String> params = new HashMap<String, String>();
Map requestParams = request.getParameterMap();
for (Iterator iter = requestParams.keySet().iterator(); iter.hasNext(); ) {
String name = (String) iter.next();
String[] values = (String[]) requestParams.get(name);
String valueStr = "";
for (int i = 0; i < values.length; i++) {
valueStr = (i == values.length - 1) ? valueStr + values[i]
: valueStr + values[i] + ",";
}
params.put(name, valueStr);
}
//所有的请求参数都在params这个hashMap里
boolean verify_result = false;
try {
verify_result = AlipaySignature.rsaCheckV1(params, AlipayConfig.ALIPAY_PUBLIC_KEY, AlipayConfig.CHARSET, AlipayConfig.SIGNTYPE);
if(verify_result){
//取到订单号
String out_trade_no = request.getParameter("out_trade_no");
//查询订单信息,返回
Orders orders = ordersService.selectOrdersByOrdersNum(out_trade_no);
if (orders.getOrdersStatus()!=1){//支付成功但是异步请求未修改,在这里进行二次验证和修改
ordersService.updateOrdersStatusPaied(orders.getOrdersNum());
}
orders.setOrdersStatus(1);
request.setAttribute("orders", orders);
return "orders/paysuccess";
}else{
//验签失败
try {
response.sendRedirect(request.getContextPath()+"/common/noauth");
} catch (IOException e) {
e.printStackTrace();
}
}
} catch (AlipayApiException e) {
e.printStackTrace();
}
return "redirect:common/noauth";
}
-
内网穿透
需要内网穿透工具,计算机在局域网内使用私有ip,在外网时使用全局ip地址的技术。
4.支付流程分析
