支付寶支付集成的時候其實是有很多坑的,很多不安全因素在裏面,最近在做支付寶集成的坑做個總結
- 公鑰,訂單信息,需要服務器來返回,官方demo是客戶端生成的訂單信息.
- 客戶端不能直接返回9000就說明支付成功
- 驗籤的坑
- 檢驗參數的合法性
以上四點全部處理了,集成支付寶纔是安全的.
這裏我只寫關鍵的僞代碼
1.公鑰,訂單信息,需要服務器來返回
1.首先我們需要發起一個支付寶預支付請求,請求參數如下:
body.put("loginUserId", params.loginUserId);
body.put("password",params.password);
body.put("app_id", params.app_id);
body.put("subject", params.subject);
body.put("body", params.body);
body.put("out_trade_no", params.out_trade_no);
body.put("total_amount", params.total_amount);
body.put("business", params.business);
body.put("employeeId", params.employeeId);
2.然後從服務器返回的數據有
public String orderParam ;//string 是 支付參數字符串,我們需要把這個數據提交給支付
public String alipayPublicKey;// string 是 支付寶公鑰
public String sellerId;// string 是 支付寶註冊的賣方Id
public String appId;// string 是 支付寶註冊的應用Id
3.支付寶預支付成功後,發起支付寶支付操作
if (result.getSuccess()) {
mPreBean = JSON.parseObject(result.getBody(), AliPayPrePayBean.class);
Runnable payRunnable = new Runnable() {
@Override
public void run() {
// 構造PayTask 對象
PayTask alipay = new PayTask(mActivity);
// 調用支付接口,獲取支付結果
String resultStr = alipay.pay(mPreBean.orderParam, true);
Message msg = new Message();
msg.what = SDK_PAY_FLAG;
msg.obj = resultStr;
mHandler.sendMessage(msg);
}
};
// 必須異步調用
Thread payThread = new Thread(payRunnable);
payThread.start();
}
2.客戶端返回9000不能直接說明支付成功
我這裏上一下代碼:
switch (msg.what) {
case SDK_PAY_FLAG: {
LogUtils.i("--------------" + msg.obj);
PayResult payResult = new PayResult((String) msg.obj);
// 支付寶返回此次支付結果及加簽,建議對支付寶簽名信息拿簽約時支付寶提供的公鑰做驗籤
String result = payResult.getResult();
String resultStatus = payResult.getResultStatus();
// 判斷resultStatus 爲“9000”則代表支付成功,具體狀態碼代表含義可參考接口文檔,且進一步檢驗訂單的合法性
if ("9000".equals(resultStatus)) {
if (!checkSignInfo(result) || !checkInfoRight(result)) {
BToast.show(mActivity, "非法支付!");
payCallback.payFail();
return;
}
payCallback.paySuccess();
} else {
BToast.show(mActivity, payResult.getMemo());
payCallback.payFail();
}
break;
}
case SDK_CHECK_FLAG: {
BToast.show(mActivity, "檢查結果爲:" + msg.obj);
break;
}
default:
break;
}
1.返回9000的時候不能就直接說明成功了,支付寶的demo有些坑爹,這裏要注意,因爲這裏會有其它的插件來破解,能直接獲取一個9000,導致1分鐘能隨意充錢進入你的平臺.所以這裏需要進行再次檢驗,這裏支付寶官方也有說明 但文檔也有些坑.
3.支付寶驗籤的坑
支付寶返回的數據中有一個叫alipay_trade_app_pay_response 字段值,裏面的值必須按支付寶返回的的數據順序來,一點也不能動,不要想用fastjson來處理了,應當直接用原生的json來處理,這樣裏面獲取的數據順序就不會被改變.這個時候纔可以通過驗籤
代碼如下:
注意這個包alipay-sdk-java20170117151523要導入.驗籤要用的
boolean isTrueSign = false;
try {
JSONObject object = new JSONObject(resultInfo);
String response = object.getString("alipay_trade_app_pay_response");
isTrueSign = AlipaySignature.rsa256CheckContent(response, resultBean.sign, mPreBean.alipayPublicKey, responseBean.charset);
} catch (JSONException e) {
e.printStackTrace();
} catch (AlipayApiException e) {
e.printStackTrace();
}
4.檢驗數據的合法性:
最後一步檢驗數據的合法性
private boolean checkInfoRight(String resultInfo) {
AliPayResultBean resultBean = JSON.parseObject(resultInfo, AliPayResultBean.class);
AliPayResultResponseBean responseBean = JSON.parseObject(resultBean.alipay_trade_app_pay_response,
AliPayResultResponseBean.class);
try {
if (params.out_trade_no.equals(responseBean.out_trade_no) &&
Float.parseFloat(params.total_amount) == Float.parseFloat(responseBean.total_amount) &&
mPreBean.sellerId.equals(responseBean.seller_id) &&
params.app_id.equals(responseBean.app_id)) {
return true;
}
} catch (Exception e) {
return false;
}
return false;
}
5.如果你的手機上沒有安裝支付寶客戶端的坑
注意如果你的手機上沒有安裝支付寶客戶端,也是可以支付的,但是如果你沒有在你的清單文件上配置如下代碼,就會出現支付失敗。報4000錯誤,所以一定要加上以下代碼。保證無論手機上是否有安裝支付寶都能支付成功。
<activity
android:name="com.alipay.sdk.app.H5PayActivity"
android:configChanges="orientation|keyboardHidden|navigation"
android:exported="false"
android:screenOrientation="behind" >
</activity>