支付寶iOS SDK Demo加密解密分析(1)

電商類app最終都會面臨一個問題:如何讓用戶便捷地在線支付。由于支付行業(yè)本身的復雜性和特殊性薯蝎,大部分公司會選擇集成第三方支付德绿。支付寶作為國內(nèi)最大的第三方支付公司辕录,由于其極其廣泛的用戶基礎(chǔ)昵仅,成了很多公司首選的支付方案缓熟。支付寶提供了相對完善的sdk和文檔,只要按照步驟操作摔笤,集成sdk不是件太難的事情够滑,但是sdk背后涉及許多安全相關(guān)的內(nèi)容。如果能認真理解支付寶sdk demo的加密解密邏輯籍茧,舉一反三版述,我們也能應(yīng)用到自己的項目里。本文會從sdk demo提供的源碼出發(fā)寞冯,分析背后的加密解密流程。

SDK需要解決的問題

  1. 是哪家商戶發(fā)起了調(diào)用晚伙?如何保證發(fā)起請求的就是那家商家吮龄?
  2. 如何保證商品數(shù)據(jù)在網(wǎng)絡(luò)傳輸中沒有被篡改?

解決方案

  1. 客戶端用自己的私鑰將特征碼加密后咆疗,將此數(shù)據(jù)發(fā)給服務(wù)器漓帚,服務(wù)器使用商戶的公鑰對密文進行解密,如果解密成功可唯一確定這是用商戶的私鑰加密的密文午磁。只要商戶的私鑰不被泄露尝抖,那么使用私鑰的人肯定是那家商戶。
  2. 我們可以對商品數(shù)據(jù)做SHA1簽名迅皇,目的是得到一個和這個商品信息唯一相關(guān)的字符串昧辽,然后對這個字符串加密,然后將這個加密后的字符串給支付寶登颓,支付寶拿到商品信息和這個加密后的字符串后搅荞,首先解密,還原為SHA1簽名字符串框咙,然后對商品信息進行SHA1簽名咕痛,對比這兩個SHA1簽名字符串,如果相等喇嘱,那么這個商品一定沒有被篡改過茉贡。因為如果信息被篡改,那么這個SHA1簽名肯定不一樣者铜;如果有人想要偽造這個SHA1簽名腔丧,又需要私鑰放椰,所以這就保證了這個商品是你發(fā)的。

代碼分析

支付寶sdk完整的一次加密解密涉及客戶端和服務(wù)端兩部分

  1. 客戶端通過支付寶sdk發(fā)起調(diào)用悔据,發(fā)送加密后的商品信息
  2. 支付寶sdk解析數(shù)據(jù)后跳轉(zhuǎn)到支付寶app顯示支付頁面庄敛,用戶執(zhí)行支付操作
  3. 服務(wù)端解析支付寶支付完成后的回調(diào),包含加密后的支付結(jié)果數(shù)據(jù)

本文分析客戶端的實現(xiàn)科汗,也就是上述的1和2:

/*
 *生成訂單信息
 */
//將商品信息賦予AlixPayOrder的成員變量
Order *order = [[Order alloc] init];
order.partner = partner;
order.sellerID = seller;
order.outTradeNO = [self generateTradeNO]; //訂單ID(由商家自行制定)
order.subject = product.subject; //商品標題
order.body = product.body; //商品描述
order.totalFee = [NSString stringWithFormat:@"%.2f",product.price]; //商品價格
order.notifyURL =  @"http://www.xxx.com"; //回調(diào)URL
    

這里設(shè)置了商品的信息藻烤,包括商品標題、商品描述和價格头滔,要注意的是怖亭,這里order.notifyURL是服務(wù)端的回調(diào)地址,也就是執(zhí)行上述的第三步坤检。

//將商品信息拼接成字符串
NSString *orderSpec = [order description];
NSLog(@"orderSpec = %@",orderSpec);
    
//獲取私鑰并將商戶信息簽名,外部商戶可以根據(jù)情況存放私鑰和簽名,只需要遵循RSA簽名規(guī)范,并將簽名字符串base64編碼和UrlEncode
id<DataSigner> signer = CreateRSADataSigner(privateKey);
NSString *signedString = [signer signString:orderSpec];

這里的orderSpec包含了商品的所有信息兴猩。通過CreateRSADataSigner(privateKey)首先對商品信息執(zhí)行sha1簽名并執(zhí)行RSA加密,其中的privateKey是商戶自己的private key早歇。具體的簽名加密是通過下面這個函數(shù)執(zhí)行的

//該簽名方法僅供參考,外部商戶可用自己方法替換
- (NSString *)signString:(NSString *)string {
    ......
    const char *message = [string cStringUsingEncoding:NSUTF8StringEncoding];
    int messageLength = (int)strlen(message);
    unsigned char *sig = (unsigned char *)malloc(256);
    unsigned int sig_len;
    int ret = rsa_sign_with_private_key_pem((char *)message, messageLength, sig, &sig_len, (char *)[path UTF8String]);
    //簽名成功,需要給簽名字符串base64編碼和UrlEncode,該兩個方法也可以根據(jù)情況替換為自己函數(shù)
    if (ret == 1) {
        NSString * base64String = base64StringFromData([NSData dataWithBytes:sig length:sig_len]);
        //NSData * UTF8Data = [base64String dataUsingEncoding:NSUTF8StringEncoding];
        signedString = [self urlEncodedString:base64String];
    }
    
    free(sig);
    return signedString;    
    
}

其中rsa_sign_with_private_key_pem函數(shù)實現(xiàn)如下

int rsa_sign_with_private_key_pem(char *message, int message_length
                                  , unsigned char *signature, unsigned int *signature_length
                                  , char *private_key_file_path)
{
    SHA1((unsigned char *)message, message_length, sha1);
    ......
    int rsa_sign_valid = RSA_sign(NID_sha1
                              , sha1, 20
                              , signature, signature_length
                              , rsa_private);
    return success;
}

通過OpenSSL提供的SHA1((unsigned char *)message, message_length, sha1);方法生成了sha1簽名倾芝,RSA_sign(NID_sha1, sha1, 20, signature, signature_length, rsa_private)生成了RSA加密后的signature

//將簽名成功字符串格式化為訂單字符串,請嚴格按照該格式
NSString *orderString = nil;
if (signedString != nil) {
    orderString = [NSString stringWithFormat:@"%@&sign=\"%@\"&sign_type=\"%@\"",
                   orderSpec, signedString, @"RSA"];
    
    [[AlipaySDK defaultService] payOrder:orderString fromScheme:appScheme callback:^(NSDictionary *resultDic) {
        NSLog(@"reslut = %@",resultDic);
    }];
}

這里通過payOrder發(fā)起了對支付寶app的調(diào)用箭跳。這里的orderSpec就是商品的明文信息晨另,signedString是加密后的SHA1簽名, orderString包含了商品明文信息和加密后的SHA1簽名。payOrder方法不是開源的谱姓,我們可以大致猜測下它的實現(xiàn)借尿。

  1. 支付寶服務(wù)端接收到明文消息orderSpec和簽名signedString
  2. 支付寶服務(wù)端使用商戶的公鑰和orderSpec驗證簽名signedString
  3. 如果驗簽成功屉来,解析商品詳細信息路翻,并跳轉(zhuǎn)到支付寶app執(zhí)行支付流程;如果驗簽失敗茄靠,則提示錯誤信息茂契。
  4. 用戶完成支付,跳回原來的app嘹黔,并進入客戶端callback執(zhí)行NSLog(@"reslut = %@",resultDic);账嚎。至此,客戶端sdk這邊的工作就完成了儡蔓。

下一篇文章會基于支付寶提供的PHP demo分析服務(wù)端的實現(xiàn)郭蕉。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市喂江,隨后出現(xiàn)的幾起案子召锈,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,919評論 6 502
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件孔厉,死亡現(xiàn)場離奇詭異,居然都是意外死亡谎亩,警方通過查閱死者的電腦和手機梢薪,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,567評論 3 392
  • 文/潘曉璐 我一進店門蹬铺,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人秉撇,你說我怎么就攤上這事甜攀。” “怎么了琐馆?”我有些...
    開封第一講書人閱讀 163,316評論 0 353
  • 文/不壞的土叔 我叫張陵规阀,是天一觀的道長。 經(jīng)常有香客問我瘦麸,道長谁撼,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,294評論 1 292
  • 正文 為了忘掉前任滋饲,我火速辦了婚禮厉碟,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘屠缭。我一直安慰自己墨榄,他們只是感情好,可當我...
    茶點故事閱讀 67,318評論 6 390
  • 文/花漫 我一把揭開白布勿她。 她就那樣靜靜地躺著,像睡著了一般阵翎。 火紅的嫁衣襯著肌膚如雪逢并。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,245評論 1 299
  • 那天郭卫,我揣著相機與錄音砍聊,去河邊找鬼。 笑死贰军,一個胖子當著我的面吹牛玻蝌,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播词疼,決...
    沈念sama閱讀 40,120評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼俯树,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了贰盗?” 一聲冷哼從身側(cè)響起许饿,我...
    開封第一講書人閱讀 38,964評論 0 275
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎舵盈,沒想到半個月后陋率,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體球化,經(jīng)...
    沈念sama閱讀 45,376評論 1 313
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,592評論 2 333
  • 正文 我和宋清朗相戀三年瓦糟,在試婚紗的時候發(fā)現(xiàn)自己被綠了筒愚。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 39,764評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡菩浙,死狀恐怖巢掺,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情芍耘,我是刑警寧澤址遇,帶...
    沈念sama閱讀 35,460評論 5 344
  • 正文 年R本政府宣布,位于F島的核電站斋竞,受9級特大地震影響倔约,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜坝初,卻給世界環(huán)境...
    茶點故事閱讀 41,070評論 3 327
  • 文/蒙蒙 一浸剩、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧鳄袍,春花似錦绢要、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,697評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至哀九,卻和暖如春剿配,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背阅束。 一陣腳步聲響...
    開封第一講書人閱讀 32,846評論 1 269
  • 我被黑心中介騙來泰國打工呼胚, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人息裸。 一個月前我還...
    沈念sama閱讀 47,819評論 2 370
  • 正文 我出身青樓蝇更,卻偏偏與公主長得像,于是被迫代替她去往敵國和親呼盆。 傳聞我的和親對象是個殘疾皇子年扩,可洞房花燭夜當晚...
    茶點故事閱讀 44,665評論 2 354

推薦閱讀更多精彩內(nèi)容