zoukankan      html  css  js  c++  java
  • 支付宝异步回调验证签名的那些走过的坑

    今天做支付宝接口回调这块,不得不说,弄的我焦头烂额,翻了很多陈年旧帖,试了无数种解决坑的方案,在我成功解决的一瞬间,觉得非常有必要记录一下这些坑。

    签名验证错误的检查顺序(这里是基于使用官方给的demo,自己封装的请绕道):

    1:检查一下你使用的验证签名的方法是否正确?

    bool signVerified = AlipaySignature.RSACheckV1(dic, alipay_public_key, config.charset);

    2:检查一下你传入的参数是否正确?

    参数1:dic,把回调的参数保存到key,value集合中

    Dictionary<string, string> dic = new Dictionary<string, string>();
    var form = HttpContext.Current.Request.Form;
    string str = "异步通知:
    ";
    foreach (var key in form)
    {
       dic[key.ToString()] = HttpContext.Current.Request.Form[key.ToString()];
       var value = HttpContext.Current.Request.Form[key.ToString()];
       //记录日志使用
       str += $"{key.ToString()}:{value}
    ";
    }

    参数2:alipay_public_key

    这个参数是 支付宝公钥!!   很多小伙伴都写成了应用公钥,瞎几把写。

    参数3:编码格式,UTF-8,这个一般没人会错。

    3:检查一下你的环境,沙盒环境还是线上环境,沙盒环境会出错,具体为什么我不知道,百度来的。要在支付宝中给你的回调域名授权,不授权人家懒得回调给你。

     

    4:检查一下你的加密解密类型,我从官网下载下来的demo里面的解密类型默认是RSA,但是官方文档已经明确说明现在都要用RSA2了,所以记得检查demo的源码

    public static bool RSACheckV1(IDictionary<string, string> parameters, string publicKeyPem, string charset)
    {
       string sign = parameters["sign"];
       string sign_type = parameters["sign_type"];
       parameters.Remove("sign");
       parameters.Remove("sign_type");
       string signContent = GetSignContent(parameters);
       return RSACheckContent(signContent, sign, publicKeyPem, charset, sign_type);
    }

    sign_type,这个就是解码类型,demo写的好像“RSA”,我这里改成动态获取了,我们在前期配置的地方也会配置加密类型,从哪获取都可以,别弄错了就行。

    5:这里不检查了,回忆一下你的支付宝公钥,是直接存在文本中的,还是写在代码里的(区别:公钥.txt,string 公钥 = “巴拉巴拉巴拉一大堆”),一个是文件,一个是直接代码(我就是代码,所以我一直到最后才解决)(下面的解决方案只针对代码保存支付宝公钥的骚年)

    string alipay_public_key = "-----BEGIN PUBLIC KEY-----
    " + config.alipay_public_key + "-----END PUBLIC KEY-----
    
    ";
    bool signVerified = AlipaySignature.RSACheckV1(dic, alipay_public_key, config.charset);

    如果是直接写在代码中的,要给支付宝公钥的头跟尾加上标识,具体标识看我贴出来的代码,如果是文件,请自动忽略

    还没结束,官方给的demo也是默认找的文件,可是我用的代码存的,哪有文件,所以找不到文件是会报错的,报错直接返回false了,在修改一下源码(自己到AlipaySignature这个类里面去找)

    public static bool RSACheckContent(string signContent, string sign, string publicKeyPem, string charset, string signType)
    {
    
        try
        {
            if (string.IsNullOrEmpty(charset))
            {
                charset = DEFAULT_CHARSET;
            }
    
            if ("RSA2".Equals(signType))
            {
                //这里就是要改的地方
                //从参数获取
                string sPublicKeyPEM = publicKeyPem;
                //从文件获取
                //string sPublicKeyPEM = File.ReadAllText(publicKeyPem);
                RSACryptoServiceProvider rsa = new RSACryptoServiceProvider();
                rsa.PersistKeyInCsp = false;
                RSACryptoServiceProviderExtension.LoadPublicKeyPEM(rsa, sPublicKeyPEM);
    
                bool bVerifyResultOriginal = rsa.VerifyData(Encoding.GetEncoding(charset).GetBytes(signContent), "SHA256", Convert.FromBase64String(sign));
                return bVerifyResultOriginal;
    
            }
            else
            {
                //这里就是要改的地方
                //从参数获取
                string sPublicKeyPEM = publicKeyPem;
                //从文件获取
                //string sPublicKeyPEM = File.ReadAllText(publicKeyPem);
                RSACryptoServiceProvider rsa = new RSACryptoServiceProvider();
                rsa.PersistKeyInCsp = false;
                RSACryptoServiceProviderExtension.LoadPublicKeyPEM(rsa, sPublicKeyPEM);
    
                SHA1CryptoServiceProvider sha1 = new SHA1CryptoServiceProvider();
                bool bVerifyResultOriginal = rsa.VerifyData(Encoding.GetEncoding(charset).GetBytes(signContent), sha1, Convert.FromBase64String(sign));
                return bVerifyResultOriginal;
            }
    
        }
        catch (Exception e)
        {
            NLogGetter.NLog.ErrorLog(e);
            return false;
        }
    
    }

    好了,差不多就总结了这么多,基本上可以让你签名验证成功了。

  • 相关阅读:
    我开发中的用到的几个框架
    关于ASP.NETCore的分享之学习路线
    首个.NET5+Vue.js业务模块化快速开发框架【NetModular】发布
    [C#] (原创)一步一步教你自定义控件 —— 系列文章
    EFS加密
    博客园样式美化:给博客添加一个音乐播放器
    XSS语义分析
    TCP回放攻击 & DDoS脉冲攻击Hit and Run IoT僵尸网络 在DDoS攻击黑产领域最活跃
    小样本学习,阿里做得比较早,但是效果未知——小样本有3类解决方法(算法维度):迁移学习、元学习(模型基础上学习模型)、度量学习(相似度衡量,也就是搜索思路),数据维度还有GAN
    真实世界中的开集识别问题(Open-Set Recognition Problem)——Walter J. Scheirer研究是最深的,安全里已经有研究了,但是感觉只是触及了皮毛而已
  • 原文地址:https://www.cnblogs.com/liuqiwang/p/9213502.html
Copyright © 2011-2022 走看看