zoukankan      html  css  js  c++  java
  • 关于集成支付宝SDK的开发

    下载

    首先,你要想找到这个SDK,都得费点功夫。如今的SDK改名叫移动支付集成开发包了,下载页面在 这里 的 “请点此下载集成开发包

    Baidu和Googlep排在前面的支付宝开放平台,里面的SDK已经是2年前的版本号了,并且还不支持64位架构。

    文档

    压缩包里有两个相关文档 :
    《支付宝钱包支付接口开发包2.0标准版.pdf》
    《支付宝钱包支付接口开发包2.0标准版接入与使用规则.pdf》
    iOS相关内容能够主要看第一个文档,第二个文档名字和里面写的不一样。内容事实上是个附录;文档里面多个平台都涉及到了。内容有些杂乱。

    以下先解释下总体SDK的流程和要做的事,就好对症下药找文档内对应的内容了。

    流程

    摘自第一个文档《支付宝钱包支付接口开发包2.0标准版.pdf》

    业务流程图
    业务流程图

    图中的“商户client”就是我们的iOSclient须要做的事情:

    • 调用支付宝支付接口
    • 处理支付宝返回的支付结果

    在调用支付宝支付接口前,我们还须要先生成一个订单。文档中描写叙述时,是将这步也放在client来做了,但也能够在server端生成这个订单(图中支付宝会在支付成功后通知server端,所以在server端生成订单的话,你能够掌握全部订单。并且也会更安全):

    • 生成订单(能够在iOSclient内生成,也能够在server端生成)
    • 调用支付宝支付接口,发送订单
    • 处理支付宝返回的支付结果

    事实上对于业务来说,这些步骤已经够了,可是有一个安全性问题。你肯定不希望你接收到的支付结果被截获改动,所以。这就须要在生成订单和处理支付结果的时候做一个安全性校验:
    生成订单时对数据签名,收到支付结果时对数据进行签名验证。以检验数据是否被篡改过。
    支付宝眼下仅仅支持採用RSA加密方式做签名验证。

    RSA加密算法 除了可加解密外,还可用来作签名校验。
    简单的说,RSA会生成一个私钥和一个公钥,私钥你应该独自保管,公钥你能够分发出去。
    做签名验证时。你能够用私钥对须要传输的数据做签名加密,生成一个签名值。之后分发数据,接收方通过公钥对签名值做校验,假设一致则觉得数据无篡改。

    详细到支付宝使用RSA做签名验证,就是在生产订单时,须要使用私钥生成签名值;在处理返回的支付结果时,须要使用公钥验证返回结果是否被篡改了。
    详细须要对哪些值,如何生成签名。对哪些值最签名验证,能够在第一个文档中找找,后面我会简单提一下,但还是以文档或实践为准吧。

    集成

    清楚了流程后,就好理解怎么集成了。

    支付SDK

    假设仅仅须要发送订单和处理支付返回结果,仅仅须要加入AlipaySDK.bundleAlipaySDK.framework即可了。

    这里再吐槽下。之前用的旧版本号,和如今的版本号相比。还不光是把类名字给改了,原先是用的类方法,如今新版又给改成了单例了。。还真是任性啊,这要是哪家小厂的SDK。预计早被弃用了把。。

    发送订单的方法:

    - (void)payOrder:(NSString *)orderStr
          fromScheme:(NSString *)schemeStr
            callback:(CompletionBlock)completionBlock;
    • 假设手机内没安装支付宝的app,会直接展现支付宝web支付界面。通过callback返回支付结果;
    • 假设手机内安装了支付宝的app,会跳转到支付宝的app支付。然后通过openURL的回调返回支付结果。

    支付宝的SDK仅仅给了一个处理返回结果的方法,而不像其它第三方的SDK提供一个处理openURL的方法,所以你须要通过DEMO或者在第二个文档里找到处理openURL的方式:

    if ([url.host isEqualToString:@"safepay"]) {
    [[AlipaySDK defaultService] processOrderWithPaymentResult:url
    standbyCallback:^(NSDictionary *resultDic) {
              NSLog(@"result = %@",resultDic);
    }]; }

    SDK也提供了一个处理openURL返回结果的方法

    - (void)processOrderWithPaymentResult:(NSURL *)resultUrl
                          standbyCallback:(CompletionBlock)completionBlock;

    两个回调block都统一定义为typedef void(^CompletionBlock)(NSDictionary *resultDic);
    返回了一个字典,可是SDK里全然没有提示有哪些key。。
    你能够在文档里找到,或者自己实际试一下,返回的信息例如以下:

    • resultStatus,状态码,SDK里没相应信息,第一个文档里有提到:
      • 9000 订单支付成功
      • 8000 正在处理中
      • 4000 订单支付失败
      • 6001 用户中途取消
      • 6002 网络连接出错
    • memo, 提示信息。比方状态码为6001时。memo就是“用户中途取消”。但千万别全然依赖这个信息,假设未安装支付宝app。採用网页支付时。取消时状态码是6001,但这个memo是空的。

      (当我发现这个问题的时候。我就决定,对于这么不靠谱的SDK。还是尽量靠自己吧。。)

    • result。订单信息,以及签名验证信息。假设你不想做签名验证,那这个字段能够忽略了。。

    假设你对支付的安全性不那么在意或重视的话。到这里就能够完毕支付宝的集成了。
    假设想更加安全。还是须要添加以下的签名验证的。

    签名验证

    首先,RSA仅仅是一种算法。所以你能够使用不论什么一种开源的、或者自己去实现这个算法来实现签名和验证的目的。

    在整个流程其中。由于涉及到了RSA公钥、私钥的生产,RSA的签名、验证签名。SHA1值的计算,base64和URL编码。所以支付宝用了一个开源的代码来统一解决这些问题,就是openssl(顺便再吐槽下,这DEMO里一放openssl。不知道又会引来多少公司的产品里使用openssl了,预计阿里自己也没少用,什么时候都能跟老罗、华为一样去赞助点呢。。)

    假设你想省事。也用openssl,那你须要把这些东西都增加到项目中:DEMO中的openssl文件夹头文件,两个库文件libcrypto.a libssl.a,DEMO里支付宝自己写的Util文件夹

    订单签名

    上面说了。订单签名应该用私钥,可是把私钥放到app里事实上本身就不安全,由于你的app是分发到用户手里的,私钥应该放在自己的手里。分发出去的应该是公钥。


    所以私钥最好是放在自己的server上。订单加密这个工作放在server端来做,server将包括签名的订单信息返回给app,app再通过SDK发送给支付宝,这样会更安全些;并且server也能掌握全部的订单状况。

    假设你非要将私钥集成到app里,那能够參考SDK的DEMO,由于这个DEMO就是在app本地通过私钥做的订单签名。。

    支付结果签名验证

    上面的回调block提到了返回的内容。返回的支付结果中的result字段里是带有订单信息和签名信息的,所以签名验证就是须要这个字段的值。

    文档中有一个这个字段的样例。实际结果没有换行,我换一下行便于阅读:

    partner="2088101568358171"&seller_id="xxx@alipay.com"&out_trade_no="0819145412-6177"&subject="測试"&body="測试測试"&total_fee="0.01"&notify_url="http://notify.msp.hk/notify.htm"&service="mobile.securitypay.pay"&payment_type="1"&_input_charset="utf-8"&it_b_pay="30m"&success="true"
    &sign_type="RSA"
    &sign="hkFZr+zE9499nuqDNLZEF7W75RFFPsly876QuRSeN8WMaUgcdR00IKy5ZyBJ4eldhoJ/2zghqrD4E2G2mNjs3aE+HCLiBXrPDNdLKCZ gSOIqmv46TfPTEqopYfhs+o5fZzXxt34fwdrzN4mX6S13cr3UwmEV4L3Ffir/02RBVtU="

    总共分为三个部分

    • 第一部分是订单信息,每一个字段的详细含义能够在文档里找。
    • 中间sign_type是签名用的算法,文档里说了,眼下仅仅支持RSA;
    • 最后的sign就是签名值。

    验证的过程例如以下:

    • 首先把订单信息和签名值分别提取出来(SDK竟然都不给处理好。。)
      • 订单信息就是sign_type的连字符&之前的全部字符串
      • 签名值是sign后面双引號内的内容。注意签名的结尾也是=,所以不要用split字符串的方式提取
    • 假设你想简单,能够直接使用Util文件夹下的DataVerifier来作签名验证
      • - (BOOL)verifyString:(NSString *)string withSign:(NSString *)signString;
      • 第一个參数就是订单信息,第二个參数就是签名值。

    事实上不使用openssl,用其它第三方RSA的开源代码也是能够的。能够看下DEMO里openssl_wrapper的源代码和SDK的文档。

    • 对于订单信息,先做一个base64编码(DEMO中这个还要调openssl来实现。。

      ),再计算SHA1的值(这个也能够全然不用openssl。苹果的库中都有的。

      。),然后再签名比对。

    • 对于公钥。假设使用其它第三方代码,须要注意格式问题。支付宝的DEMO实现中,是把这个公钥又转回成openssl生成的本地文件格式,然后再写入本地文件。再让openssl读取出来使用。。


    以上。就是支付宝 iOS SDK的一些介绍。
    整体来说,我认为能靠自己处理的地方还是尽量不要依赖这个不太靠谱的SDK了。

  • 相关阅读:
    浅谈JavaScript中this指向的⼏种情况
    JavaScript、html简单的级联操作。
    异常处理中throws和throw的区别?
    java异常处理try-catch-finally的执行过程?
    什么是内连接、外连接、交叉连接(笛卡尔积)?
    主键和外键的区别
    集合和数组的比较(为什么要引入集合)?
    Java中对比单继承与多继承的优劣,以及java的解决方案
    数据库
    数据库集中控制的优势
  • 原文地址:https://www.cnblogs.com/lxjshuju/p/7148976.html
Copyright © 2011-2022 走看看