下载
首先,你要想找到这个SDK,都得费点功夫。如今的SDK改名叫移动支付集成开发包了,下载页面在 这里 的 “请点此下载集成开发包”
Baidu和Googlep排在前面的支付宝开放平台,里面的SDK已经是2年前的版本号了,并且还不支持64位架构。
文档
压缩包里有两个相关文档 :
《支付宝钱包支付接口开发包2.0标准版.pdf》
《支付宝钱包支付接口开发包2.0标准版接入与使用规则.pdf》
iOS相关内容能够主要看第一个文档,第二个文档名字和里面写的不一样。内容事实上是个附录;文档里面多个平台都涉及到了。内容有些杂乱。
以下先解释下总体SDK的流程和要做的事,就好对症下药找文档内对应的内容了。
流程
摘自第一个文档《支付宝钱包支付接口开发包2.0标准版.pdf》
图中的“商户client”就是我们的iOSclient须要做的事情:
- 调用支付宝支付接口
- 处理支付宝返回的支付结果
在调用支付宝支付接口前,我们还须要先生成一个订单。文档中描写叙述时,是将这步也放在client来做了,但也能够在server端生成这个订单(图中支付宝会在支付成功后通知server端,所以在server端生成订单的话,你能够掌握全部订单。并且也会更安全):
- 生成订单(能够在iOSclient内生成,也能够在server端生成)
- 调用支付宝支付接口,发送订单
- 处理支付宝返回的支付结果
事实上对于业务来说,这些步骤已经够了,可是有一个安全性问题。你肯定不希望你接收到的支付结果被截获改动,所以。这就须要在生成订单和处理支付结果的时候做一个安全性校验:
生成订单时对数据签名,收到支付结果时对数据进行签名验证。以检验数据是否被篡改过。
支付宝眼下仅仅支持採用RSA加密方式做签名验证。
RSA加密算法 除了可加解密外,还可用来作签名校验。
简单的说,RSA会生成一个私钥和一个公钥,私钥你应该独自保管,公钥你能够分发出去。
做签名验证时。你能够用私钥对须要传输的数据做签名加密,生成一个签名值。之后分发数据,接收方通过公钥对签名值做校验,假设一致则觉得数据无篡改。
详细到支付宝使用RSA做签名验证,就是在生产订单时,须要使用私钥生成签名值;在处理返回的支付结果时,须要使用公钥验证返回结果是否被篡改了。
详细须要对哪些值,如何生成签名。对哪些值最签名验证,能够在第一个文档中找找,后面我会简单提一下,但还是以文档或实践为准吧。
集成
清楚了流程后,就好理解怎么集成了。
支付SDK
假设仅仅须要发送订单和处理支付返回结果,仅仅须要加入AlipaySDK.bundle
和AlipaySDK.framework
即可了。
这里再吐槽下。之前用的旧版本号,和如今的版本号相比。还不光是把类名字给改了,原先是用的类方法,如今新版又给改成了单例了。。还真是任性啊,这要是哪家小厂的SDK。预计早被弃用了把。。
发送订单的方法:
- (void)payOrder:(NSString *)orderStr
fromScheme:(NSString *)schemeStr
callback:(CompletionBlock)completionBlock;
- 假设手机内没安装支付宝的app,会直接展现支付宝web支付界面。通过callback返回支付结果;
- 假设手机内安装了支付宝的app,会跳转到支付宝的app支付。然后通过openURL的回调返回支付结果。
支付宝的SDK仅仅给了一个处理返回结果的方法,而不像其它第三方的SDK提供一个处理openURL的方法,所以你须要通过DEMO或者在第二个文档里找到处理openURL的方式:
if ([url.host isEqualToString:@"safepay"]) { [[AlipaySDK defaultService] processOrderWithPaymentResult:url standbyCallback:^(NSDictionary *resultDic) { NSLog(@"result = %@",resultDic); }]; }
SDK也提供了一个处理openURL返回结果的方法
- (void)processOrderWithPaymentResult:(NSURL *)resultUrl
standbyCallback:(CompletionBlock)completionBlock;
两个回调block都统一定义为typedef
void(^CompletionBlock)(NSDictionary *resultDic);
,
返回了一个字典,可是SDK里全然没有提示有哪些key。。
你能够在文档里找到,或者自己实际试一下,返回的信息例如以下:
- resultStatus,状态码,SDK里没相应信息,第一个文档里有提到:
-
- 9000 订单支付成功
- 8000 正在处理中
- 4000 订单支付失败
- 6001 用户中途取消
- 6002 网络连接出错
- memo, 提示信息。比方状态码为6001时。memo就是“用户中途取消”。但千万别全然依赖这个信息,假设未安装支付宝app。採用网页支付时。取消时状态码是6001,但这个memo是空的。
。
(当我发现这个问题的时候。我就决定,对于这么不靠谱的SDK。还是尽量靠自己吧。。)
- result。订单信息,以及签名验证信息。假设你不想做签名验证,那这个字段能够忽略了。。
假设你对支付的安全性不那么在意或重视的话。到这里就能够完毕支付宝的集成了。
假设想更加安全。还是须要添加以下的签名验证的。
签名验证
首先,RSA仅仅是一种算法。所以你能够使用不论什么一种开源的、或者自己去实现这个算法来实现签名和验证的目的。
在整个流程其中。由于涉及到了RSA公钥、私钥的生产,RSA的签名、验证签名。SHA1值的计算,base64和URL编码。所以支付宝用了一个开源的代码来统一解决这些问题,就是openssl(顺便再吐槽下,这DEMO里一放openssl
。不知道又会引来多少公司的产品里使用openssl
了,预计阿里自己也没少用,什么时候都能跟老罗、华为一样去赞助点呢。。)
假设你想省事。也用openssl
,那你须要把这些东西都增加到项目中:DEMO中的openssl文件夹
头文件,两个库文件libcrypto.a
libssl.a
,DEMO里支付宝自己写的Util文件夹
订单签名
上面说了。订单签名应该用私钥,可是把私钥放到app里事实上本身就不安全,由于你的app是分发到用户手里的,私钥应该放在自己的手里。分发出去的应该是公钥。
所以私钥最好是放在自己的server上。订单加密这个工作放在server端来做,server将包括签名的订单信息返回给app,app再通过SDK发送给支付宝,这样会更安全些;并且server也能掌握全部的订单状况。
假设你非要将私钥集成到app里,那能够參考SDK的DEMO,由于这个DEMO就是在app本地通过私钥做的订单签名。。
支付结果签名验证
上面的回调block提到了返回的内容。返回的支付结果中的result
字段里是带有订单信息和签名信息的,所以签名验证就是须要这个字段的值。
文档中有一个这个字段的样例。实际结果没有换行,我换一下行便于阅读:
partner="2088101568358171"&seller_id="xxx@alipay.com"&out_trade_no="0819145412-6177"&subject="測试"&body="測试測试"&total_fee="0.01"¬ify_url="http://notify.msp.hk/notify.htm"&service="mobile.securitypay.pay"&payment_type="1"&_input_charset="utf-8"&it_b_pay="30m"&success="true"
&sign_type="RSA"
&sign="hkFZr+zE9499nuqDNLZEF7W75RFFPsly876QuRSeN8WMaUgcdR00IKy5ZyBJ4eldhoJ/2zghqrD4E2G2mNjs3aE+HCLiBXrPDNdLKCZ gSOIqmv46TfPTEqopYfhs+o5fZzXxt34fwdrzN4mX6S13cr3UwmEV4L3Ffir/02RBVtU="
总共分为三个部分
- 第一部分是订单信息,每一个字段的详细含义能够在文档里找。
- 中间
sign_type
是签名用的算法,文档里说了,眼下仅仅支持RSA; - 最后的
sign
就是签名值。
验证的过程例如以下:
- 首先把订单信息和签名值分别提取出来(SDK竟然都不给处理好。。)
-
- 订单信息就是
sign_type
的连字符&
之前的全部字符串 - 签名值是
sign
后面双引號内的内容。注意签名的结尾也是=
,所以不要用split字符串的方式提取
- 订单信息就是
- 假设你想简单,能够直接使用
Util文件夹
下的DataVerifier
来作签名验证 -
- (BOOL)verifyString:(NSString *)string withSign:(NSString *)signString;
- 第一个參数就是订单信息,第二个參数就是签名值。
事实上不使用
openssl
,用其它第三方RSA的开源代码也是能够的。能够看下DEMO里openssl_wrapper
的源代码和SDK的文档。
- 对于订单信息,先做一个base64编码(DEMO中这个还要调
openssl
来实现。。),再计算SHA1的值(这个也能够全然不用
openssl
。苹果的库中都有的。。),然后再签名比对。
- 对于公钥。假设使用其它第三方代码,须要注意格式问题。支付宝的DEMO实现中,是把这个公钥又转回成
openssl
生成的本地文件格式,然后再写入本地文件。再让openssl
读取出来使用。。
。