微信小程序的加密解密以及小程序的支付
写项目的时候注意的问题
如果写的问题,大吉大利
有问题,最好是报错,因为有了报错,你就知道错在哪里?开心
最怕的是有问题,但是就是不报错。找不到问题的所在。
小程序的支付流程图
题目
背景支付平台,这个个平台相当于支付宝的平台。
1 用户下单,就记入订单,如果支付成功就改变订单状态。(某个商户底下的订单)
2 支付宝商户。商户可以对他已支付的订单,做体现。
3 体现出问题了。
当用户提现的时候,就出问题,a商户1000万,但是体现980万,10000万,999.9万
体现的代码逻辑
- 查询已支付支付的订单,把所有已经支付的订单,的钱数做累加,状态是没有提现的 1 并且返回订单id
100
- 给商户的体现钱数+钱数做累加,等于可体现钱数 2
- 将所有该用户底下的订单定做,update操作,把已支付的全部改成以体现 3 只改变,返回订单id
订单表
钱数 支付状态 是否体现 商户id
100 1 1 1
200 1 0 1
100 1 0 1
用户表
可体现钱数
100
会不会有订单进来
回顾
1 小程序的登入
1 先调用wx.login来获取code.
2 将code通过wx.request传递到后端。后端通过code,appid,Appsecret来请求code2session接口来获得
openid,session_key,openid是单个应用用户的唯一标识
3 后端得到open_id与session_key,进行存储,并自定义登入状态,key->val,val是openid与session_key,key相当于token,在把token传递给小程序。
4 小程序收到后端返回的token,保存,下次请求后端的时候如果需要登入状态,把这个token带上
2 授权
1 微信的部分需要用户同意后才能使用,哪些接口需要用户同意呢?我们scope列表中的对应关系。
2 我们可以用wx.getSetting来判断接口有没有被用户授权,查看哪个接口,就需要判断wx.getSetting的返回值,authsetting中的socop值判断。
3 如果我们发现这个接口的authsetting中的scope为false,就标识该用户没有对该接口授权,这个时候我们就可以用wx.authorize吊起对应授权弹框,如果要对哪个接口授权,就需要给wx.authorize,传递对应的scope值,如果
authsetting中的scope为true,表示该用户已经对该接口授权,我们就可以直接使用对应的接口
4 wx.authorize不能将wx.getUserInfor这接口直接吊起授权弹框。我们只能通过<button>按钮的行式手动吊起弹框
后端,如何解析wx.getUserInfor中的用户信息。
1 我们用encryptedData和iv,进行解密,必须要用到session_key,所以用必须是登入状态。
2 但是session_key是有有效期。而且session_key的有效期,不是一个固定值,他是通过用户行为来决定,session_key的有效期时间。
3 但是我们可以通过wx.checkSession来判断有没有过期。
4 保证session_key没有过期的情况下。我们将iv,encryptedData,token(登入凭证)发送到后端.
5 后端使用官方提供的sdk,进行解密。
6 解密成功以后保存到数据,数据库的字符集一定要是utf8mb4,才能保存表情包
如官方的sdk没有Crypto包用下面的方法解决:
pip install pycryptodome
小程序的app.js
//app.js
App({
/*
当小程序初始话完成,会触发onlaunch(全局只触发一次)
*/
onLaunch: function () {
// let that = this
// 登录
this.my_login()
},
my_login:function(){
let that = this
wx.login({
success: res => {
// 发送 res.code 到后台换取 openId, sessionKey, unionId
console.log(res.code)
wx.request({
url: that.globalData.baseurl + "login/",
data: { "code": res.code },
method: "POST",
success(e) {
wx.setStorageSync('token', e.data.data.token)
}
})
}
})
},
/**
* 当小程序启动,或者是重后台进入到前台的时候,会执行onshow,
* 那我们可以通过这个option中的scene值来判断不同进入场景
*/
// onShow:function(option){
// console.log("小程序onshow,:onShow",option)
// },
// /*小程序重前台进入到后台的时候,会触发:onHide*/
// onHide:function(){
// console.log("小程序重前台进入到后台的时候,会触发:onHide")
// },
/**可以在全局使用 */
globalData: {
userInfo: null,
baseurl: "http://127.0.0.1:8000/"
}
})
小程序页面的js
// pages/test3/test3.js
const app = getApp()
Page({
/**
* 页面的初始数据
*/
data: {
},
//加密解密
user1:function(e){
// console.log("e",e.detail)
wx.getSetting({
success(res) {
if (res.authSetting['scope.userInfo']) {
wx.checkSession({
success() {
//session_key 未过期,并且在本生命周期一直有效
wx.getUserInfo({
success: (res) => {
console.log("res", res)//这个res里面就是用户的信息
//将数据发送到后端
wx.request({
//这里是发送iv和encryptedate
url: app.globalData.baseurl + "getinfo/",
data:{
iv:res.iv,
encryptedData:res.encryptedData,
token: wx.getStorageSync('token')
},
method:"POST",
success: (e) => {
console.log("后台返回的数据",e)
}
})
},
})
},
fail() {
// session_key 已经失效,需要重新执行登录流程
app.my_login()
wx.request({
//这里是发送iv和encryptedate
url: app.globalData.baseurl + "getinfo/",
data: {
iv: res.iv,
encryptedData: res.encryptedData,
token: wx.getStorageSync('token')
},
method: "POST",
success: (e) => {
console.log("后台返回的数据", e)
}
})
}
})
}
}
})
},
//支付
pay:function(){
wx.request({
url: app.globalData.baseurl + "pay/",
data:{"money":1, token:wx.getStorageSync('token')},
method:"POST",
success(e){
console.log("支付数据",e)
wx.requestPayment(
{
'timeStamp': e.data.data.timeStamp,
'nonceStr': e.data.data.nonceStr,
'package': e.data.data.package,
'signType': e.data.data.signType,
'paySign': e.data.data.paySign,
'success': function (res) {
console.log("成功", res)
},
'fail': function (res) {
console.log("失败", res)
},
})
}
})
}
})
主配置settings.py
# django-redis缓存
STATIC_URL = '/static/'
CACHES = {
'default': {
'BACKEND': 'django_redis.cache.RedisCache',
'LOCATION': 'redis://127.0.0.1:6379',
"OPTIONS": {
"CLIENT_CLASS": "django_redis.client.DefaultClient",
"PASSWORD": "Admin123",
},
},
}
# 数据库
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.mysql',
'NAME': 'python13',
'USER':'root',
'PASSWORD':'123456',
'HOST':'127.0.0.1',
'PORT': 3306,
'OPTIONS': {'charset': 'utf8mb4'}, # 当用支付的时候用utf8mb4
}
}
有关小程序的settings
AppId="xxx" # 写你自己的
AppSecret="xxx" # 写你自己的
code2Session="https://api.weixin.qq.com/sns/jscode2session?appid={}&secret={}&js_code={}&grant_type=authorization_code"
pay_mchid ='xxx' # 这个需要三证合一才可以拿到什么营业执照许可证啥的,一般只有公司才有,
pay_apikey = 'xxx' # 这个需要三证合一才可以拿到什么营业执照许可证啥的,一般只有公司才有,
python支付的demo
from WXBizDataCrypt import WXBizDataCrypt
if __name__ == '__main__':
main()
用于加密解密的校验
import base64
import json
from Crypto.Cipher import AES
from app01.wx import settings
class WXBizDataCrypt:
def __init__(self, appId, sessionKey):
self.appId = appId
self.sessionKey = sessionKey
def decrypt(self, encryptedData, iv):
# base64 decode
sessionKey = base64.b64decode(self.sessionKey)
encryptedData = base64.b64decode(encryptedData)
iv = base64.b64decode(iv)
cipher = AES.new(sessionKey, AES.MODE_CBC, iv)
decrypted = json.loads(self._unpad(cipher.decrypt(encryptedData)))
if decrypted['watermark']['appid'] != self.appId:
raise Exception('Invalid Buffer')
return decrypted
def _unpad(self, s):
return s[:-ord(s[len(s)-1:])]
@classmethod
def get_info(cls, sessionKey, encryptedData, iv):
return cls(settings.AppId, sessionKey).decrypt(encryptedData, iv)
pay
from rest_framework.views import APIView
from rest_framework.response import Response
from django.core.cache import cache
from app01.wx import settings
import hashlib,requests,time
class Pay(APIView):
def post(self,request):
param = request.data
if param.get("token") and param.get("money"):
openid_session_key = cache.get(param.get("token"))
if openid_session_key:
# 获取客户端ip,如果是负载均衡,就用HTTP_X_FORWARDED_FOR,如果不是就用下面的
# nginx 转发:--》访问是nginx,->nginx -> uwsgi
if request.META.get('HTTP_X_FORWARDED_FOR'):
#有负载均衡就用这个
self.ip = request.META['HTTP_X_FORWARDED_FOR']
else:
#没有负载均衡就用这个
self.ip = request.META['REMOTE_ADDR']
self.openid =openid_session_key.split("&")[1]
self.money =param.get("money")
data = self.get_pay_data()
return Response({"code":0,"msg":"ok","data":data})
else:
return Response({"code": 2, "msg": "token无效"})
else:
return Response({"code":1,"msg":"缺少参数"})
def get_nonce_str(self):
import random
data = "123456789abcdefghijklmn"
nonce_str = "".join(random.sample(data,10))
#random.sample(从哪里取,取多小个),变成列表
return nonce_str
def get_order_id(self):
import time
import random
data = "123456789abcdefghijklmn"
order_no = str(time.strftime("%Y%m%d%H%M%S"))+"".join(random.sample(data, 5))
return order_no
def get_sign(self):
data_dict ={
"appid" : self.appid,
"mch_id":self.mch_id,
"nonce_str" : self.nonce_str,
"body" : self.body,
"out_trade_no" : self.out_trade_no,
"total_fee" : self.total_fee,
"spbill_create_ip" : self.ip,
"notify_url" : self.notify_url,
"trade_type" : self.trade_type,
"openid" : self.openid,
}
sign_str = "&".join([f"{k}={data_dict[k]}" for k in sorted(data_dict)])
sign_str = f"{sign_str}&key={settings.pay_apikey}"
print("sign_str", sign_str)
md5 = hashlib.md5()
md5.update(sign_str.encode("utf-8"))
sign = md5.hexdigest()
return sign.upper()
def xml_to_dict(self,xml_data):
import xml.etree.ElementTree as ET
xml_dict ={}
root = ET.fromstring(xml_data)
for child in root:
xml_dict[child.tag]= child.text
return xml_dict
def get_two_sign(self,data):
data_dict = {
"appId":settings.AppId,
"timeStamp":str(int(time.time())),
"nonceStr":data['nonce_str'],
"package":f"prepay_id={data['prepay_id']}",
"signType":"MD5"
}
sign_str = "&".join([f"{k}={data_dict[k]}" for k in sorted(data_dict)])
sign_str = f"{sign_str}&key={settings.pay_apikey}"
md5 = hashlib.md5()
md5.update(sign_str.encode("utf-8"))
sign = md5.hexdigest()
return sign.upper() , data_dict['timeStamp']
def get_pay_data(self):
self.appid = settings.AppId
self.mch_id = settings.pay_mchid
self.nonce_str = self.get_nonce_str()
self.body = "老男孩学费"
self.out_trade_no = self.get_order_id()
self.total_fee =self.money
self.spbill_create_ip =self.ip
self.notify_url = "htttp://www.test.com"
self.trade_type ="JSAPI"
self.openid = self.openid
self.sign = self.get_sign()
body_data = f'''
<xml>
<appid>{self.appid}</appid>
<mch_id>{self.mch_id}</mch_id>
<nonce_str>{self.nonce_str}</nonce_str>
<body>{self.body}</body>
<out_trade_no>{self.out_trade_no}</out_trade_no>
<total_fee>{self.total_fee}</total_fee>
<spbill_create_ip>{self.spbill_create_ip}</spbill_create_ip>
<notify_url>{self.notify_url}</notify_url>
<trade_type>{self.trade_type }</trade_type>
<openid>{self.openid }</openid>
<sign>{self.sign}</sign>
</xml>
'''
url = "https://api.mch.weixin.qq.com/pay/unifiedorder"
# 如果发送的xml数据要把数据转化二进制。body_data.encode("utf-8")
# request
response = requests.post(url,data=body_data.encode("utf-8"),headers = {"content-type":"application/xml"} )
#接收一个二进制的响应
data_dict = self.xml_to_dict(response.content)
pay_sign,timeStamp = self.get_two_sign(data_dict)
data = {
"timeStamp": timeStamp,
"nonceStr": data_dict['nonce_str'],
"package": f"prepay_id={data_dict['prepay_id']}",
"signType": "MD5",
"paySign":pay_sign
}
return data
my_ser
from rest_framework import serializers
from app01 import models
class wx_user_ser(serializers.ModelSerializer):
class Meta:
model = models.Wxuser
fields = "__all__"
小程序支付流程
1 用户发起请求下单支付
2 我们要保证用是登入状态。
3 组织数据,请求统一下单接口,微信官方会同步返回一个prepay_id
4 重新组织数据,进行签名,将重新组织的数据返回给小程序,小程序在吊起支付。
5 用户就可以进行支付,支付结果会同步返回给小程序
6 后台修改订单支付状态是通过微信官方服务器的异步通知
xml解析模块
<xml>
<appid name="属性值" >{.child.text}</appid>
child.tag表示appid
</xml>
import xml.etree.ElementTree as ET
如果我们要解析一个xml文件
tree = ET.parse('country_data.xml')
root = tree.getroot()
如果解析字符串
root = ET.fromstring(country_data_as_string)
这个root是 Element
for child in root:
print(child.tag, child.attrib)
#child.tag表是标签名,child.attrib表示获取属性
#child.text就表示获取内容
小程序支付在总结
1 接收到支付请求。我们先组织数据,然后进行统一下单前的签名
- 请求的数据与响应的数据都是xml.请求的时候,xml数据要变成二进制,heards中的content-type:"application/xml"
-响应的数据也是xml,我要用xml.etree.ElementTree将他转化为字典
2 拿到统一下单数据,最重要的prepay_id,进行再次签名。把一下数据发送给小程序。
"timeStamp": 时间戳
"nonceStr":随机字符串
"package": f"prepay_id={data_dict['prepay_id']}",统一下单中的到的prepay_id
"signType": "MD5",
"paySign":通过上面数据进行加密的结果
3 小程序掉用wx.resquestPayment()吊起支付
以后再支付文档
1 统一下单
签名:80%。
签名方式没有搞懂。用了哪些数据,传过去的数据,和签名的数据不一致。
appid = 123 传过去,appid =456
appid 123 --->apid
每一个数据的类型,长短,意义是什么?一定要搞清楚,
2异步回调
Only you can control your future
You're not alone. You still have family,peopel who care for you and want to save you.